Feds bevestigen moord op afstand van Volt Typhoon's SOHO-botnet

De Amerikaanse wetshandhaving heeft de infrastructuur van de beruchte, door China gesponsorde cyberaanvalgroep, bekend als Volt Typhoon, ontwricht.

De Advanced Persistent Threat (APT), die FBI-directeur heeft zei Christopher Wray deze week is “de bepalende cyberdreiging van dit tijdperk” en staat bekend om het beheer van een uitgestrekt botnet dat is ontstaan ​​door compromissen te sluiten slecht beschermde routers voor kleine kantoren/thuiskantoren (SOHO).. De door de staat gesteunde groep gebruikt het als lanceerplatform voor andere aanvallen, vooral op Amerikaanse kritieke infrastructuur, omdat het gedistribueerde karakter van het botnet de activiteit moeilijk te traceren maakt.

Na het Er werd melding gemaakt van het neerhalen van Volt Typhoon door Reuters eerder deze week, Amerikaanse functionarissen bevestigde de handhavingsactie laat gisteren. De FBI heeft het command-and-control (C2)-netwerk van de aanvaller nagebootst door een kill-schakelaar op afstand te sturen naar routers die zijn geïnfecteerd door de 'KV Botnet'-malware die door de groep wordt gebruikt, zo kondigde de FBI aan.

“De door de rechtbank goedgekeurde operatie verwijderde de KV Botnet-malware van de routers en ondernam aanvullende stappen om hun verbinding met het botnet te verbreken, zoals het blokkeren van de communicatie met andere apparaten die worden gebruikt om het botnet te controleren”, aldus de verklaring van de FBI.

Het voegde eraan toe dat “de overgrote meerderheid van de routers waaruit het KV Botnet bestond, routers van Cisco en Netgear waren die kwetsbaar waren omdat ze de status 'end of life' hadden bereikt; dat wil zeggen, ze werden niet langer ondersteund door de beveiligingspatches van de fabrikant of andere software-updates.”

Hoewel het in stilte grijpen naar de edge-apparatuur van honderden kleine bedrijven alarmerend lijkt, benadrukte de Fed dat er geen toegang was tot informatie en dat er geen legitieme functies van de routers werden aangetast. En eigenaren van routers kunnen de maatregelen opheffen door de apparaten opnieuw op te starten, hoewel ze hierdoor vatbaarder zouden worden voor herinfectie.

De industriële rampspoed van Volt Typhoon zal doorgaan

Volt Typhoon (ook bekend als Bronze Silhouette en Vanguard Panda) maakt deel uit van een bredere Chinese poging om nutsbedrijven, bedrijven uit de energiesector, militaire bases, telecombedrijvenen industriële locaties om malware te installeren, ter voorbereiding op ontwrichtende en destructieve aanvallen in de toekomst. Het doel is om in een positie te zijn om het reactievermogen van de VS te schaden als er een kinetische oorlog uitbreekt over Taiwan of handelsproblemen in de Zuid-Chinese Zee, waarschuwden Wray en andere functionarissen deze week.

Het is een groeiende afwijkt van de gebruikelijke hack- en spionageoperaties van China. “Cyberoorlogvoering die zich richt op kritieke diensten zoals nutsvoorzieningen en water duidt op een ander eindspel [dan cyberspionage]”, zegt Austin Berglas, mondiaal hoofd professionele diensten bij BlueVoyant en voormalig speciaal agent van de cyberdivisie van de FBI. “De focus ligt niet langer op voordeel, maar op schade en bolwerken.”

Gezien het feit dat de router opnieuw opstart, de apparaten openstelt voor herinfectie, en het feit dat Volt Typhoon zeker andere manieren heeft om heimelijke aanvallen uit te voeren op zijn kritieke infrastructuurgroeve, zal de juridische actie ongetwijfeld slechts een tijdelijke verstoring voor de APT zijn – een feit dat zelfs de De FBI erkende dit in haar verklaring.

“De acties van de Amerikaanse regering hebben waarschijnlijk de infrastructuur van Volt Typhoon aanzienlijk verstoord, maar de aanvallers zelf blijven vrij”, zei Toby Lewis, mondiaal hoofd van de dreigingsanalyse bij Darktrace, via e-mail. “Het richten op de infrastructuur en het ontmantelen van de capaciteiten van aanvallers leidt meestal tot een periode van stilte bij de actoren waar ze opnieuw opbouwen en opnieuw uitrusten, wat we nu waarschijnlijk gaan zien.”

Toch is het goede nieuws dat de VS de strategie en tactieken van China nu “op de hoogte” hebben, zegt Sandra Joyce, vice-president van Mandiant Intelligence – Google Cloud, die met de Fed samenwerkte aan de verstoring. Ze zegt dat Volt Typhoon niet alleen een gedistribueerd botnet gebruikt om voortdurend de bron van hun activiteiten te verschuiven om onder de radar te blijven, maar ook de handtekeningen vermindert die verdedigers gebruiken om hen via netwerken te achtervolgen, en dat ze het gebruik van binaire bestanden vermijden die mogelijk standhouden. als indicatoren van compromissen (IoC’s).  

Toch is “dit soort activiteiten buitengewoon uitdagend om te volgen, maar niet onmogelijk”, zegt Joyce. “Het doel van Volt Typhoon was om rustig in te graven voor een contingentie zonder de aandacht op zichzelf te vestigen. Gelukkig is Volt Typhoon niet onopgemerkt gebleven, en ook al is de jacht een uitdaging, we passen ons al aan om het verzamelen van informatie te verbeteren en deze acteur te dwarsbomen. We zien ze aankomen, we weten hoe we ze kunnen identificeren, en het allerbelangrijkste: we weten hoe we de netwerken waarop ze zich richten, kunnen versterken.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet