Feds confirmă uciderea de la distanță a botnetului SOHO de la Volt Typhoon

Forțele de ordine din SUA au perturbat infrastructura notoriului grup de atac cibernetic sponsorizat de China, cunoscut sub numele de Volt Typhoon.

Amenințarea persistentă avansată (APT), pe care directorul FBI Christopher Wray a spus săptămâna aceasta este „amenințarea cibernetică definitorie a acestei epoci”, este cunoscut pentru gestionarea unui botnet întins creat prin compromiterea routere de birou/birou de acasă (SOHO) slab protejate. Grupul susținut de stat îl folosește ca rampă de lansare pentru alte atacuri, în special asupra infrastructurii critice din SUA, deoarece natura distribuită a rețelei botnet face ca activitatea să fie greu de urmărit.

După A fost raportată distrugerea Volt Typhoon de Reuters la începutul acestei săptămâni, oficialii americani a confirmat actul de executare ieri târziu. FBI a imitat rețeaua de comandă și control (C2) a atacatorului pentru a trimite un comutator de ucidere de la distanță către routerele infectate cu malware-ul „KV Botnet” folosit de grup, a anunțat.

„Operațiunea autorizată de instanță a șters malware-ul KV Botnet de pe routere și a luat măsuri suplimentare pentru a întrerupe conexiunea acestora la botnet, cum ar fi blocarea comunicațiilor cu alte dispozitive utilizate pentru a controla botnetul”, potrivit declarației FBI.

Acesta a adăugat că „majoritatea mare a routerelor care cuprindeau KV Botnet erau routere Cisco și Netgear care erau vulnerabile pentru că ajunseseră la statutul de „sfârșit de viață”; adică nu mai erau acceptate prin corecțiile de securitate ale producătorului sau prin alte actualizări de software.”

În timp ce atingerea în tăcere în echipamentele de vârf deținute de sute de întreprinderi mici ar putea părea alarmantă, federalii au subliniat că nu au accesat informații și nu au afectat funcțiile legitime ale routerelor. Și, proprietarii de routere pot elimina atenuările repornind dispozitivele - deși acest lucru le-ar face susceptibile la reinfectare.

Explozia industrială a lui Volt Typhoon va continua

Volt Typhoon (alias Bronze Silhouette și Vanguard Panda) face parte dintr-un efort mai amplu chinez de a se infiltra în utilități, companii din sectorul energetic, baze militare, companii de telecomunicații, și site-uri industriale pentru a planta malware de bază, în pregătirea pentru atacuri perturbatoare și distructive pe linie. Scopul este de a fi în măsură să afecteze capacitatea SUA de a răspunde în cazul în care se declanșează un război cinetic pentru Taiwan sau probleme comerciale în Marea Chinei de Sud, au avertizat Wray și alți oficiali săptămâna aceasta.

Este o creștere plecare de la operațiunile obișnuite de hack-and-spy din China. „Războiul cibernetic care se concentrează pe servicii critice, cum ar fi utilitățile și apa, indică un final diferit [decat spionajul cibernetic]”, spune Austin Berglas, șeful global al serviciilor profesionale la BlueVoyant și fost agent special al diviziei cibernetice FBI. „Nu se mai pune accent pe avantaj, ci pe daune și fortărețe.”

Având în vedere că routerul repornește deschide dispozitivele pentru reinfectare și faptul că Volt Typhoon are cu siguranță alte modalități de a lansa atacuri furtive împotriva carierei sale de infrastructură critică, acțiunea în justiție este cu siguranță o întrerupere temporară pentru APT - un fapt pe care chiar și FBI a recunoscut în declarația sa.

„Acțiunile guvernului SUA au perturbat probabil în mod semnificativ infrastructura Volt Typhoon, dar atacatorii înșiși rămân liberi”, a declarat Toby Lewis, șeful global al analizei amenințărilor la Darktrace, prin e-mail. „Țintirea infrastructurii și dezmembrarea capabilităților atacatorilor duce de obicei la o perioadă de liniște din partea actorilor în care aceștia reconstruiesc și reutilizează, ceea ce probabil o vom vedea acum.”

Chiar și așa, vestea bună este că SUA se află acum „pe” strategia și tactica Chinei, spune Sandra Joyce, vicepreședinte al Mandiant Intelligence – Google Cloud, care a colaborat cu Feds la perturbare. Ea spune că, pe lângă utilizarea unui botnet distribuit pentru a schimba constant sursa activității lor pentru a rămâne sub radar, Volt Typhoon reduce, de asemenea, semnăturile pe care apărătorii le folosesc pentru a-i vâna în rețele și evită utilizarea oricăror fișiere binare care ar putea rezista. ca indicatori de compromis (IoC).  

Totuși, „o astfel de activitate este extrem de dificil de urmărit, dar nu imposibil”, spune Joyce. „Scopul lui Volt Typhoon a fost să sape în liniște pentru o contingență fără a atrage atenția asupra ei. Din fericire, Volt Typhoon nu a trecut neobservat și, deși vânătoarea este o provocare, deja ne adaptăm pentru a îmbunătăți colectarea de informații și a dejuca acest actor. Îi vedem venind, știm cum să-i identificăm și, cel mai important, știm cum să întărim rețelele pe care le vizează.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet