Federalni potwierdzają zdalne zabijanie botnetu SOHO firmy Volt Typhoon

Amerykańskie organy ścigania zakłóciły infrastrukturę sponsorowanej przez Chiny grupy cyberataków znanej jako Volt Typhoon.

Zaawansowane trwałe zagrożenie (APT), które dyrektor FBI Christopher Wray powiedział w tym tygodniu to „najważniejsze zagrożenie cybernetyczne tej epoki” i jest znane z zarządzania rozległym botnetem utworzonym w wyniku naruszenia bezpieczeństwa słabo chronione routery dla małych biur/biur domowych (SOHO).. Ta wspierana przez państwo grupa wykorzystuje go jako platformę startową do innych ataków, zwłaszcza na infrastrukturę krytyczną w USA, ponieważ rozproszony charakter botnetu utrudnia śledzenie jego aktywności.

Po Zgłoszono zestrzelenie Volta Typhoona przez Reuters na początku tego tygodnia urzędnicy amerykańscy potwierdził podjęcie działań egzekucyjnych późno wczoraj. Ogłoszono, że FBI naśladowało sieć dowodzenia i kontroli (C2) atakującego, aby wysłać zdalny wyłącznik awaryjny do routerów zainfekowanych złośliwym oprogramowaniem „KV Botnet” wykorzystywanym przez grupę.

„W ramach operacji zatwierdzonej przez sąd usunięto z routerów złośliwe oprogramowanie KV Botnet i podjęto dodatkowe kroki w celu zerwania ich połączenia z botnetem, takie jak zablokowanie komunikacji z innymi urządzeniami używanymi do kontrolowania botnetu” – wynika z oświadczenia FBI.

Dodał, że „zdecydowana większość routerów tworzących botnet KV to routery Cisco i Netgear, które były podatne na ataki, ponieważ osiągnęły status „końca życia”; oznacza to, że nie były już obsługiwane przez poprawki zabezpieczeń producenta ani inne aktualizacje oprogramowania”.

Choć ciche sięganie do urządzeń brzegowych należących do setek małych firm może wydawać się niepokojące, federalni podkreślili, że nie zapewnia to dostępu do żadnych informacji i nie wpływa na żadne legalne funkcje routerów. Właściciele routerów mogą usunąć ograniczenia, ponownie uruchamiając urządzenia — chociaż spowodowałoby to ich podatność na ponowną infekcję.

Przemysłowy szał Volta Typhoona będzie kontynuowany

Volt Typhoon (znany również jako Bronze Silhouette i Vanguard Panda) jest częścią szerszego chińskiego wysiłku mającego na celu infiltrację przedsiębiorstw użyteczności publicznej, firm z sektora energetycznego, bazy wojskowe, firmy telekomunikacyjnei obiekty przemysłowe w celu umieszczania szkodliwego oprogramowania w ramach przygotowań na destrukcyjne i destrukcyjne ataki. Celem jest zdobycie pozycji, która mogłaby zaszkodzić zdolności USA do reagowania w przypadku rozpoczęcia wojny kinetycznej na Tajwanie lub problemów handlowych na Morzu Południowochińskim, ostrzegał w tym tygodniu Wray i inni urzędnicy.

To rośnie odejście od zwykłych chińskich operacji hakerskich i szpiegowskich. „Cyberwojna skupiająca się na usługach krytycznych, takich jak media i woda, wskazuje na inny koniec [niż cyberszpiegostwo]” – mówi Austin Berglas, globalny szef usług profesjonalnych w BlueVoyant i były agent specjalny działu cybernetycznego FBI. „Nie skupiamy się już na przewadze, ale na obrażeniach i twierdzach”.

Biorąc pod uwagę, że router uruchamia się ponownie, narażając urządzenia na ponowną infekcję, oraz fakt, że Volt Typhoon z pewnością ma inne sposoby na przeprowadzanie ukrytych ataków na kamieniołom infrastruktury krytycznej, postępowanie prawne z pewnością będzie jedynie tymczasowym zakłóceniem działania APT – fakt, że nawet FBI potwierdziło to w swoim oświadczeniu.

„Działania rządu USA prawdopodobnie znacząco zakłóciły infrastrukturę Volt Typhoon, ale sami napastnicy pozostają wolni” – powiedział za pośrednictwem poczty elektronicznej Toby Lewis, globalny szef analizy zagrożeń w Darktrace. „Namierzanie infrastruktury i likwidacja możliwości atakującego zwykle prowadzi do okresu ciszy ze strony aktorów, którzy zajmują się odbudową i przezbrajaniem, co prawdopodobnie zobaczymy teraz”.

Mimo to dobra wiadomość jest taka, że ​​Stany Zjednoczone „wdrożyły” już chińską strategię i taktykę, mówi Sandra Joyce, wiceprezes Mandiant Intelligence — Google Cloud, która współpracowała z federalnymi w związku z zakłóceniami. Mówi, że oprócz wykorzystywania rozproszonego botnetu do ciągłego przesuwania źródła swojej aktywności, aby pozostać poza zasięgiem radaru, Volt Typhoon ogranicza również sygnatury wykorzystywane przez obrońców do polowania na nich w sieciach i unika stosowania jakichkolwiek plików binarnych, które mogłyby stać jako wskaźniki kompromisu (IoC).  

Mimo to „śledzenie takiej aktywności jest niezwykle trudne, ale nie niemożliwe” – mówi Joyce. „Celem Volta Typhoona było ciche kopanie na jakąś ewentualność, bez zwracania na siebie uwagi. Na szczęście Volt Typhoon nie pozostał niezauważony i chociaż polowanie jest trudne, już dostosowujemy się, aby usprawnić zbieranie informacji wywiadowczych i pokrzyżować plany temu aktorowi. Widzimy, jak się pojawiają, wiemy, jak je zidentyfikować, a co najważniejsze, wiemy, jak wzmocnić sieci, na które są skierowane”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet