I federali confermano l'uccisione remota della botnet SOHO di Volt Typhoon

Le forze dell’ordine statunitensi hanno interrotto l’infrastruttura del famigerato gruppo di attacchi informatici sponsorizzato dalla Cina noto come Volt Typhoon.

L'Advanced Persistent Threat (APT), che il direttore dell'FBI Christopher Wray ha detto questa settimana è "la minaccia informatica che definisce questa era", è noto per la gestione di una vasta botnet creata compromettendo router per piccoli uffici/uffici domestici (SOHO) scarsamente protetti. Il gruppo sostenuto dallo Stato lo utilizza come trampolino di lancio per altri attacchi, in particolare contro le infrastrutture critiche statunitensi, perché la natura distribuita della botnet rende difficile tracciare l'attività.

Dopo il È stato segnalato l'abbattimento del Volt Typhoon da Reuters all'inizio di questa settimana, funzionari statunitensi ha confermato l'azione esecutiva ieri tardi. L'FBI ha imitato la rete di comando e controllo (C2) dell'aggressore per inviare un kill switch remoto ai router infettati dal malware "KV Botnet" utilizzato dal gruppo, ha annunciato.

"L'operazione autorizzata dal tribunale ha eliminato il malware KV Botnet dai router e ha adottato ulteriori misure per interrompere la loro connessione alla botnet, come bloccare le comunicazioni con altri dispositivi utilizzati per controllare la botnet", secondo la dichiarazione dell'FBI.

Ha aggiunto che “la stragrande maggioranza dei router che costituivano la Botnet KV erano router Cisco e Netgear vulnerabili perché avevano raggiunto lo stato di 'fine vita'; cioè, non erano più supportati dalle patch di sicurezza del produttore o da altri aggiornamenti software."

Anche se entrare silenziosamente in contatto con i dispositivi edge posseduti da centinaia di piccole imprese potrebbe sembrare allarmante, i federali hanno sottolineato che non hanno avuto accesso a informazioni e non hanno influenzato alcuna funzione legittima dei router. Inoltre, i proprietari dei router possono eliminare le mitigazioni riavviando i dispositivi, anche se ciò li renderebbe suscettibili alla reinfezione.

La furia industriale di Volt Typhoon continuerà

Volt Typhoon (noto anche come Bronze Silhouette e Vanguard Panda) fa parte di un più ampio tentativo cinese di infiltrarsi nei servizi pubblici, nelle aziende del settore energetico, basi militari, compagnie di telecomunicazionie siti industriali al fine di impiantare malware di riferimento, in preparazione ad attacchi dirompenti e distruttivi su tutta la linea. L’obiettivo è quello di essere in grado di danneggiare la capacità degli Stati Uniti di rispondere nel caso in cui scoppi una guerra cinetica su Taiwan o su questioni commerciali nel Mar Cinese Meridionale, hanno avvertito Wray e altri funzionari questa settimana.

È una crescita allontanamento dalle consuete operazioni di hacking e spionaggio della Cina. “La guerra informatica focalizzata su servizi critici come i servizi pubblici e l’acqua indica un finale diverso [rispetto allo spionaggio informatico]”, afferma Austin Berglas, responsabile globale dei servizi professionali presso BlueVoyant ed ex agente speciale della divisione informatica dell’FBI. “L’attenzione non è più sul vantaggio, ma sui danni e sulle roccaforti”.

Dato che il riavvio del router apre i dispositivi alla reinfezione, e il fatto che Volt Typhoon ha sicuramente altri modi per lanciare attacchi furtivi contro la sua infrastruttura critica, l’azione legale è destinata a essere solo un’interruzione temporanea per l’APT – un fatto che anche il L'FBI ha riconosciuto nella sua dichiarazione.

"Le azioni del governo degli Stati Uniti hanno probabilmente distrutto in modo significativo l'infrastruttura di Volt Typhoon, ma gli aggressori stessi rimangono liberi", ha detto via e-mail Toby Lewis, responsabile globale dell'analisi delle minacce presso Darktrace. "Prendere di mira le infrastrutture e smantellare le capacità degli aggressori di solito porta a un periodo di tranquillità da parte degli attori in cui ricostruiscono e riorganizzano, cosa che probabilmente vedremo ora."

Anche così, la buona notizia è che gli Stati Uniti ora sono “in sintonia” con la strategia e le tattiche della Cina, afferma Sandra Joyce, vicepresidente di Mandiant Intelligence – Google Cloud, che ha collaborato con la Fed allo sconvolgimento. Dice che oltre a utilizzare una botnet distribuita per spostare costantemente la fonte della loro attività per rimanere sotto il radar, Volt Typhoon riduce anche le firme che i difensori utilizzano per braccarli attraverso le reti ed evitano l'uso di eventuali file binari che potrebbero resistere come indicatori di compromesso (IoC).  

Tuttavia, “attività come questa sono estremamente difficili da monitorare, ma non impossibili”, afferma Joyce. “Lo scopo di Volt Typhoon era quello di scavare in silenzio per una contingenza senza attirare l'attenzione su di sé. Fortunatamente, Volt Typhoon non è passato inosservato e, anche se la caccia è impegnativa, ci stiamo già adattando per migliorare la raccolta di informazioni e contrastare questo attore. Li vediamo arrivare, sappiamo come identificarli e, soprattutto, sappiamo come rafforzare le reti a cui stanno prendendo di mira”.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet