Federais confirmam morte remota do botnet SOHO do Volt Typhoon

A aplicação da lei dos EUA interrompeu a infraestrutura do notório grupo de ataques cibernéticos patrocinado pela China, conhecido como Volt Typhoon.

A ameaça persistente avançada (APT), que o diretor do FBI Christopher Wray disse esta semana é “a ameaça cibernética que define esta era”, é conhecido por gerenciar uma extensa botnet criada por meio de comprometimento roteadores para pequenos escritórios/escritórios domésticos (SOHO) mal protegidos. O grupo apoiado pelo Estado utiliza-o como plataforma de lançamento para outros ataques, especialmente contra infra-estruturas críticas dos EUA, porque a natureza distribuída da botnet torna a actividade difícil de rastrear.

Após A queda do Volt Typhoon foi relatada pela Reuters no início desta semana, autoridades dos EUA confirmou a ação coerciva tarde ontem. O FBI imitou a rede de comando e controle (C2) do invasor para enviar um kill switch remoto para roteadores infectados pelo malware “KV Botnet” usado pelo grupo, anunciou.

“A operação autorizada pelo tribunal excluiu o malware KV Botnet dos roteadores e tomou medidas adicionais para cortar sua conexão com o botnet, como bloquear as comunicações com outros dispositivos usados ​​para controlar o botnet”, de acordo com o comunicado do FBI.

Acrescentou que “a grande maioria dos roteadores que compunham o KV Botnet eram roteadores Cisco e Netgear vulneráveis ​​porque haviam atingido o status de 'fim de vida'; isto é, eles não eram mais suportados pelos patches de segurança do fabricante ou outras atualizações de software.”

Embora o acesso silencioso aos equipamentos de ponta pertencentes a centenas de pequenas empresas possa parecer alarmante, os Feds sublinharam que não acederam a nenhuma informação e não afetaram quaisquer funções legítimas dos routers. E os proprietários de roteadores podem eliminar as atenuações reiniciando os dispositivos – embora isso os torne suscetíveis à reinfecção.

A agitação industrial do Volt Typhoon continuará

O Volt Typhoon (também conhecido como Bronze Silhouette e Vanguard Panda) faz parte de um esforço chinês mais amplo para se infiltrar em serviços públicos, empresas do setor de energia, bases militares, empresas de telecomunicações, e instalações industriais, a fim de plantar malware, em preparação para ataques disruptivos e destrutivos no futuro. O objetivo é estar em posição de prejudicar a capacidade de resposta dos EUA no caso de uma guerra cinética começar por causa de Taiwan ou de questões comerciais no Mar da China Meridional, alertaram Wray e outras autoridades esta semana.

É um crescimento afastamento das habituais operações de hack-and-spy da China. “A guerra cibernética focada em serviços críticos, como serviços públicos e água, indica um fim de jogo diferente [da espionagem cibernética]”, diz Austin Berglas, chefe global de serviços profissionais da BlueVoyant e ex-agente especial da divisão cibernética do FBI. “O foco não está mais na vantagem, mas nos danos e nas fortalezas.”

Dado que as reinicializações do roteador abrem os dispositivos para reinfecção, e o fato de que o Volt Typhoon certamente tem outras maneiras de lançar ataques furtivos contra sua pedreira de infraestrutura crítica, a ação legal será uma interrupção apenas temporária para o APT - um fato que mesmo o O FBI reconheceu em sua declaração.

“As ações do governo dos EUA provavelmente perturbaram significativamente a infraestrutura do Volt Typhoon, mas os próprios invasores permanecem livres”, disse Toby Lewis, chefe global de análise de ameaças da Darktrace, por e-mail. “Alvejar a infraestrutura e desmantelar as capacidades dos invasores geralmente leva a um período de silêncio por parte dos atores, onde eles reconstroem e reequipam, o que provavelmente veremos agora.”

Mesmo assim, a boa notícia é que os EUA estão agora “no caminho” da estratégia e tácticas da China, afirma Sandra Joyce, vice-presidente da Mandiant Intelligence – Google Cloud, que trabalhou com os Feds na perturbação. Ela diz que, além de usar uma botnet distribuída para mudar constantemente a fonte de sua atividade para permanecer fora do radar, o Volt Typhoon também reduz as assinaturas que os defensores usam para caçá-los nas redes e evita o uso de quaisquer binários que possam ser usados. como indicadores de compromisso (IoCs).  

Ainda assim, “atividades como esta são extremamente difíceis de acompanhar, mas não impossíveis”, diz Joyce. “O objetivo do Volt Typhoon era cavar silenciosamente para uma contingência sem chamar a atenção para si. Felizmente, o Volt Typhoon não passou despercebido e, embora a caçada seja desafiadora, já estamos nos adaptando para melhorar a coleta de inteligência e frustrar esse ator. Nós os vemos chegando, sabemos como identificá-los e, o mais importante, sabemos como fortalecer as redes que eles visam.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet