FBI Mengonfirmasi Pembunuhan Jarak Jauh atas Botnet SOHO Volt Typhoon

Penegakan hukum AS telah mengganggu infrastruktur kelompok serangan siber terkenal yang disponsori Tiongkok yang dikenal sebagai Volt Typhoon.

Ancaman persisten tingkat lanjut (APT), yang merupakan Direktur FBI Christopher Wray berkata minggu ini adalah “ancaman dunia maya yang paling menentukan di era ini,” dikenal karena mengelola botnet yang luas yang dibuat dengan mengorbankan router kantor kecil/kantor rumah (SOHO) yang tidak terlindungi dengan baik. Kelompok yang didukung negara ini menggunakannya sebagai landasan untuk serangan lain, khususnya terhadap infrastruktur penting AS, karena sifat botnet yang terdistribusi membuat aktivitas tersebut sulit dilacak.

Setelah Penghapusan Volt Typhoon telah dilaporkan oleh Reuters awal pekan ini, para pejabat AS mengkonfirmasi tindakan penegakan hukum kemarin terlambat. FBI meniru jaringan command-and-control (C2) milik penyerang dengan mengirimkan tombol pemutus (kill switch) jarak jauh ke router yang terinfeksi oleh malware “KV Botnet” yang digunakan oleh kelompok tersebut, ungkap FBI.

“Operasi yang disetujui pengadilan menghapus malware KV Botnet dari router dan mengambil langkah tambahan untuk memutuskan koneksinya ke botnet, seperti memblokir komunikasi dengan perangkat lain yang digunakan untuk mengontrol botnet,” menurut pernyataan FBI.

Ia menambahkan bahwa “sebagian besar router yang terdiri dari KV Botnet adalah router Cisco dan Netgear yang rentan karena mereka telah mencapai status 'akhir masa pakainya'; artinya, mereka tidak lagi didukung melalui patch keamanan pabrikan atau pembaruan perangkat lunak lainnya.”

Meskipun secara diam-diam menjangkau edge gear yang dimiliki oleh ratusan usaha kecil mungkin tampak mengkhawatirkan, FBI menekankan bahwa hal tersebut tidak mengakses informasi dan tidak mempengaruhi fungsi sah dari router. Dan, pemilik router dapat mengatasi mitigasi tersebut dengan memulai ulang perangkat — meskipun hal ini akan membuat perangkat rentan terhadap infeksi ulang.

Amukan Industri Topan Volt Akan Berlanjut

Volt Typhoon (alias Bronze Silhouette dan Vanguard Panda) adalah bagian dari upaya Tiongkok yang lebih luas untuk menyusup ke utilitas, perusahaan sektor energi, pangkalan militer, perusahaan telekomunikasi, dan lokasi industri untuk menanam malware, sebagai persiapan menghadapi serangan yang mengganggu dan merusak di kemudian hari. Tujuannya adalah untuk dapat merusak kemampuan AS dalam merespons jika terjadi perang kinetik di Taiwan atau masalah perdagangan di Laut Cina Selatan, Wray dan pejabat lainnya memperingatkan minggu ini.

Ini sedang berkembang berbeda dari operasi peretasan dan mata-mata yang biasa dilakukan Tiongkok. “Perang siber yang berfokus pada layanan penting seperti utilitas dan air menunjukkan tujuan akhir yang berbeda [dibandingkan spionase siber],” kata Austin Berglas, kepala layanan profesional global di BlueVoyant dan mantan agen khusus divisi siber FBI. “Fokusnya bukan lagi pada keuntungan, tapi pada kerusakan dan benteng.”

Mengingat bahwa restart router membuka perangkat untuk infeksi ulang, dan fakta bahwa Volt Typhoon tentu memiliki cara lain untuk meluncurkan serangan diam-diam terhadap tambang infrastruktur penting, tindakan hukum pasti hanya akan menjadi gangguan sementara bagi APT — sebuah fakta yang bahkan FBI mengakui hal tersebut dalam pernyataannya.

“Tindakan pemerintah AS kemungkinan besar telah mengganggu infrastruktur Volt Typhoon secara signifikan, namun para penyerangnya sendiri masih bebas,” kata Toby Lewis, kepala analisis ancaman global di Darktrace, melalui email. “Menargetkan infrastruktur dan menghilangkan kemampuan penyerang biasanya menyebabkan masa tenang bagi para pelaku di mana mereka membangun kembali dan memperlengkapi kembali, yang mungkin akan kita lihat sekarang.”

Meski begitu, kabar baiknya adalah AS kini “mengikuti” strategi dan taktik Tiongkok, kata Sandra Joyce, wakil presiden Mandiant Intelligence – Google Cloud, yang bekerja sama dengan FBI dalam mengatasi gangguan tersebut. Dia mengatakan bahwa selain menggunakan botnet terdistribusi untuk terus-menerus mengalihkan sumber aktivitas mereka agar tetap di bawah radar, Volt Typhoon juga mengurangi tanda tangan yang digunakan pembela HAM untuk memburu mereka di seluruh jaringan, dan mereka menghindari penggunaan biner apa pun yang mungkin ada. sebagai indikator kompromi (IoCs).  

Namun, “aktivitas seperti ini sangat sulit untuk dilacak, namun bukan tidak mungkin,” kata Joyce. “Tujuan Volt Typhoon adalah untuk menggali dengan tenang untuk suatu keadaan darurat tanpa menarik perhatian pada dirinya sendiri. Untungnya, Volt Typhoon tidak luput dari perhatian, dan meskipun perburuannya menantang, kami sudah beradaptasi untuk meningkatkan pengumpulan intelijen dan menggagalkan aktor ini. Kami melihat mereka datang, kami tahu cara mengidentifikasi mereka, dan yang paling penting, kami tahu cara memperkuat jaringan yang mereka targetkan.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet