הפד מאשר הריגה מרחוק של ה-SOHO Botnet של וולט טייפון

רשויות אכיפת החוק בארה"ב שיבשו את התשתית של קבוצת התקפות הסייבר הידועה לשמצה בחסות סין הידועה בשם וולט טייפון.

האיום המתמשך המתקדם (APT), שמנהל ה-FBI כריסטופר ריי אמר השבוע הוא "איום הסייבר המכונן של התקופה הזו", ידוע בניהול רשת בוט רחבה שנוצרה על ידי התפשרות נתבי משרד קטן/משרד ביתי (SOHO) מוגנים בצורה גרועה. הקבוצה הנתמכת על ידי המדינה משתמשת בו כנקודת שיגור להתקפות אחרות, במיוחד על תשתית קריטית בארה"ב, מכיוון שהטבע המבוזר של הבוטנט מקשה על מעקב אחר הפעילות.

לאחר דווח על פירוק וולט טייפון על ידי רויטרס מוקדם יותר השבוע, פקידים אמריקאים אישר את פעולת האכיפה אתמול מאוחר. ה-FBI חיקה את רשת הפיקוד והשליטה (C2) של התוקף כדי לשלוח מתג הרג מרחוק לנתבים שנדבקו בתוכנה הזדונית "KV Botnet" המשמשת את הקבוצה, הוא הודיע.

"הפעולה שאושרה על ידי בית המשפט מחקה את התוכנה הזדונית של KV Botnet מהנתבים ונקטה בצעדים נוספים כדי לנתק את החיבור שלהם ל-botnet, כגון חסימת תקשורת עם מכשירים אחרים המשמשים לשליטה ברשת הבוט", לפי הצהרת ה-FBI.

הוא הוסיף כי "הרוב המכריע של הנתבים שהרכיבו את ה-KV Botnet היו נתבי Cisco ו-Netgear שהיו פגיעים מכיוון שהגיעו למצב 'סוף החיים'; כלומר, הם לא נתמכו עוד באמצעות תיקוני האבטחה של היצרן או עדכוני תוכנה אחרים."

בעוד שהושיטה בשקט אל ציוד הקצה שבבעלות מאות עסקים קטנים עשויה להיראות מדאיגה, הפד הדגיש כי היא לא ניגשה למידע ולא השפיעה על פונקציות לגיטימיות של הנתבים. ובעלי נתבים יכולים לנקות את ההקלות על ידי הפעלה מחדש של המכשירים - אם כי זה יהפוך אותם לרגישים להדבקה מחדש.

ההשתוללות התעשייתית של וולט טייפון תימשך

וולט טייפון (המכונה גם ברונזה סילואט ו-Vanguard Panda) הוא חלק ממאמץ סיני רחב יותר לחדור לחברות שירות, חברות מגזר האנרגיה, בסיסים צבאיים, חברות טלקום, ואתרים תעשייתיים על מנת לשתול תוכנות זדוניות, כהכנה להתקפות משבשות והרסניות בהמשך הקו. המטרה היא להיות בעמדה לפגוע ביכולת של ארה"ב להגיב במקרה שתתחיל מלחמה קינטית על טייוואן או בעיות סחר בים סין הדרומי, ריי ובכירים אחרים הזהירו השבוע.

זה גידול יציאה מפעולות הפריצה והריגול הרגילות של סין. "לוחמת סייבר המתמקדת בשירותים קריטיים כמו שירותים ומים מעידה על משחק קצה שונה [מרגול סייבר]", אומר אוסטין ברגלס, ראש שירותים מקצועיים עולמיים ב-BlueVoyant וסוכן מיוחד בחטיבת הסייבר של ה-FBI לשעבר. "כבר לא הפוקוס על יתרון, אלא על נזק ומעוזים."

בהתחשב בכך שהנתב מחדש פותח את המכשירים להדבקה מחדש, והעובדה שלוולט טייפון בהחלט יש דרכים אחרות להפעיל התקפות חמקניות נגד מחצבת התשתית הקריטית שלה, הפעולה המשפטית חייבת להיות הפרעה זמנית בלבד עבור ה-APT - עובדה שאפילו ה-FBI הודה בהצהרתו.

"סביר להניח שהפעולות של ממשלת ארה"ב שיבשו באופן משמעותי את התשתית של וולט טייפון, אבל התוקפים עצמם נשארים חופשיים", אמר טובי לואיס, ראש מחלקת ניתוח האיומים העולמי ב-Darktrace בדוא"ל. "מיקוד תשתיות ופירוק יכולות תוקפים מובילים בדרך כלל לתקופה של שקט מהשחקנים שבהם הם בונים מחדש ומכינים מחדש, מה שכנראה נראה עכשיו."

למרות זאת, החדשות הטובות הן שארה"ב "עומדת על" האסטרטגיה והטקטיקות של סין כעת, אומרת סנדרה ג'ויס, סגנית נשיא Mandiant Intelligence - Google Cloud, שעבדה עם הפד' על השיבוש. היא אומרת שבנוסף לשימוש ברשת בוט מבוזר כדי להעביר כל הזמן את מקור הפעילות שלהם כדי להישאר מתחת לרדאר, וולט טייפון גם מצמצם את החתימות שבהן משתמשים המגינים כדי לצוד אותם ברשתות, והם נמנעים משימוש בכל קובץ בינארי שעלול לעמוד יוצאים כאינדיקטורים של פשרה (IoCs).  

ובכל זאת, "פעילות כזו היא מאתגרת ביותר למעקב, אבל לא בלתי אפשרית", אומר ג'ויס. "מטרתו של וולט טייפון הייתה לחפור בשקט למקרה מבלי למשוך תשומת לב לעצמה. למרבה המזל, וולט טייפון לא נעלם מעיניהם, ולמרות שהציד מאתגר, אנחנו כבר מסתגלים לשיפור איסוף המודיעין ולסכל את השחקן הזה. אנחנו רואים אותם מגיעים, אנחנו יודעים לזהות אותם, והכי חשוב אנחנו יודעים להקשיח את הרשתות שהם מכוונים אליהם".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet