Amerikansk rettshåndhevelse har forstyrret infrastrukturen til den beryktede Kina-sponsede nettangrepsgruppen kjent som Volt Typhoon.
Den avanserte vedvarende trusselen (APT), som FBI-direktør sa Christopher Wray denne uken er "den definerende cybertrusselen i denne epoken," er kjent for å administrere et vidstrakt botnett opprettet ved å kompromittere dårlig beskyttede rutere for små kontor/hjemmekontor (SOHO).. Den statsstøttede gruppen bruker den som en startrampe for andre angrep, spesielt på amerikansk kritisk infrastruktur, fordi botnettets distribuerte natur gjør aktiviteten vanskelig å spore.
Etter Volt Typhoon-nedtakelse ble rapportert av Reuters tidligere denne uken, amerikanske tjenestemenn bekreftet håndhevingshandlingen sent i går. FBI etterlignet angriperens kommando-og-kontroll-nettverk (C2) for å sende en ekstern kill-switch til rutere infisert av "KV Botnet"-malware som brukes av gruppen, kunngjorde den.
"Den rettsautoriserte operasjonen slettet KV Botnet-malware fra ruterne og tok ytterligere skritt for å kutte forbindelsen deres til botnettet, for eksempel blokkering av kommunikasjon med andre enheter som brukes til å kontrollere botnettet," ifølge FBIs uttalelse.
Den la til at «det store flertallet av rutere som omfattet KV Botnet var Cisco- og Netgear-rutere som var sårbare fordi de hadde nådd 'slutt av livet'-status; det vil si at de ikke lenger ble støttet gjennom produsentens sikkerhetsoppdateringer eller andre programvareoppdateringer.»
Selv om det kan virke urovekkende å stille inn i kantutstyret som eies av hundrevis av små bedrifter, understreket Fed at det ikke fikk tilgang til informasjon og ikke påvirket noen legitime funksjoner til ruterne. Og rutereiere kan fjerne reduksjonene ved å starte enhetene på nytt - selv om dette vil gjøre dem mottakelige for reinfeksjon.
Volt Typhoons industrielle rampage vil fortsette
Volt Typhoon (aka Bronze Silhouette og Vanguard Panda) er en del av en bredere kinesisk innsats for å infiltrere verktøy, energiselskaper, militærbaser, telekomselskaper, og industrielle nettsteder for å plante fotfeste malware, som forberedelse til forstyrrende og destruktive angrep langs linjen. Målet er å være i posisjon til å skade USAs evne til å reagere i tilfelle en kinetisk krig starter over Taiwan eller handelsspørsmål i Sør-Kinahavet, advarte Wray og andre tjenestemenn denne uken.
Det er en vekst avgang fra Kinas vanlige hack-and-spion-operasjoner. "Cyberkrigføring med fokus på kritiske tjenester som verktøy og vann indikerer et annet sluttspill [enn cyberspionasje], sier Austin Berglas, global leder for profesjonelle tjenester i BlueVoyant og en tidligere spesialagent for FBIs cyberdivisjon. "Det er ikke lenger fokus på fordel, men på skader og festninger."
Gitt at ruteren starter på nytt og åpner enhetene for reinfeksjon, og det faktum at Volt Typhoon absolutt har andre måter å sette i gang snikende angrep mot sitt kritiske infrastrukturbrudd, er rettslige handlinger nødt til å være en eneste midlertidig forstyrrelse for APT - et faktum som selv FBI erkjente i sin uttalelse.
"Handlingene fra den amerikanske regjeringen har sannsynligvis betydelig forstyrret Volt Typhoons infrastruktur, men angriperne selv forblir fri," sa Toby Lewis, global leder for trusselanalyse hos Darktrace, via e-post. "Målretting av infrastruktur og demontering av angriperevner fører vanligvis til en periode med stillhet fra aktørene der de bygger om og verktøy, noe vi sannsynligvis kommer til å se nå."
Likevel er den gode nyheten at USA er "på" Kinas strategi og taktikk nå, sier Sandra Joyce, visepresident for Mandiant Intelligence – Google Cloud, som samarbeidet med Feds om avbruddet. Hun sier at i tillegg til å bruke et distribuert botnett for å stadig skifte kilden til aktiviteten deres for å holde seg under radaren, reduserer Volt Typhoon også signaturene som forsvarere bruker for å jakte dem på tvers av nettverk, og de unngår bruk av binærfiler som kan stå ut som indikatorer på kompromiss (IoCs).
Likevel, "aktivitet som dette er ekstremt utfordrende å spore, men ikke umulig," sier Joyce. "Volt Typhoons formål var å grave seg inn i det stille for en beredskap uten å trekke oppmerksomhet til seg selv. Heldigvis har ikke Volt Typhoon gått upåaktet hen, og selv om jakten er utfordrende, tilpasser vi oss allerede for å forbedre innsamlingen av intelligens og hindre denne skuespilleren. Vi ser dem komme, vi vet hvordan vi skal identifisere dem, og viktigst av alt vet vi hvordan vi kan herde nettverkene de retter seg mot.»
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet
- : har
- :er
- :ikke
- :hvor
- 7
- a
- evne
- aksesseres
- Ifølge
- erkjente
- tvers
- Handling
- handlinger
- aktivitet
- aktører
- tilpasse
- la til
- tillegg
- Ytterligere
- avansert
- Fordel
- påvirkes
- mot
- Agent
- aka
- allerede
- også
- analyse
- og
- annonsert
- noen
- APT
- ER
- AS
- At
- angriper
- Angrep
- oppmerksomhet
- austin
- unngå
- BE
- fordi
- blokkering
- botnet
- Bound
- bredere
- bedrifter
- men
- by
- CAN
- evner
- Gjerne
- utfordrende
- Kina
- Kinas strategi
- Chinas
- Kinesisk
- Cisco
- fjerne
- Cloud
- Samle
- kommer
- kommunikasjon
- Selskaper
- Omfattet
- kompromiss
- kompromittere
- Bekrefte
- tilkobling
- stadig
- fortsette
- kontroll
- opprettet
- kritisk
- Kritisk infrastruktur
- cyber
- Cyber angrep
- skade
- Defenders
- definere
- Enheter
- forskjellig
- DIG
- Regissør
- demontering
- forstyrret
- Avbrudd
- forstyrrende
- distribueres
- Divisjon
- ned
- tegning
- Tidligere
- Edge
- innsats
- emalje
- slutt
- håndhevelse
- Era
- spionasje
- Selv
- Event
- ekstremt
- Faktisk
- FBI
- FBI
- Fokus
- fokusering
- Til
- Tidligere
- Heldigvis
- Gratis
- fra
- funksjoner
- Gear
- Global
- mål
- skal
- borte
- god
- Google Cloud
- Regjeringen
- Gruppe
- Økende
- HAD
- Hard
- Ha
- hode
- Hvordan
- Hvordan
- HTTPS
- Hundrevis
- jakten
- identifisere
- viktigere
- umulig
- forbedre
- in
- indikerer
- indikatorer
- industriell
- informasjon
- Infrastruktur
- Intelligens
- inn
- saker
- IT
- DET ER
- selv
- jpg
- Justice
- Kicks
- Drepe
- drepe
- Vet
- kjent
- Late
- lansere
- Launchpad
- Law
- rettshåndhevelse
- Fører
- Lovlig
- Lovlig handling
- legitim
- Lewis
- Life
- i likhet med
- Sannsynlig
- linje
- lenger
- Flertall
- gjøre
- GJØR AT
- malware
- administrerende
- kunne
- mest
- Natur
- nettverk
- nettverk
- nyheter
- Nei.
- notorisk
- nå
- of
- off
- Office
- tjenestemenn
- on
- bare
- videre til
- åpen
- drift
- or
- rekkefølge
- Annen
- ut
- enn
- eide
- eiere
- del
- spesielt
- Patches
- perioden
- plato
- Platon Data Intelligence
- PlatonData
- posisjon
- forberedelse
- president
- sannsynligvis
- profesjonell
- beskyttet
- formål
- steinbrudd
- radar
- RE
- nådd
- nå
- reduserer
- forbli
- fjernkontroll
- Svare
- Reuters
- router
- s
- Sa
- sier
- SEA
- sikkerhet
- se
- synes
- send
- Tjenester
- hun
- skift
- signaturer
- betydelig
- Nettsteder
- liten
- små bedrifter
- So
- Software
- kilde
- Sør
- spesiell
- Sponset
- viltvoksende
- stå
- Uttalelse
- status
- opphold
- stealthy
- Steps
- Strategi
- slik
- Støttes
- utsatt
- Bytte om
- taktikk
- Taiwan
- rettet mot
- telekom
- midlertidig
- enn
- Det
- De
- Køen
- Kilden
- deres
- Dem
- seg
- de
- denne
- denne uka
- selv om?
- trussel
- Gjennom
- hindre
- til
- tok
- Trace
- spor
- handel
- etter
- oppdateringer
- us
- oss regjering
- bruke
- brukt
- bruker
- ved hjelp av
- vanlig
- vanligvis
- verktøy
- fortropp
- enorme
- av
- vice
- Vice President
- Volt
- Sårbar
- krig
- advarte
- var
- Vann
- måter
- we
- uke
- var
- hvilken
- vil
- med
- uten
- arbeidet
- ville
- i går
- zephyrnet
