Федералы подтверждают удаленное уничтожение ботнета SOHO компании Volt Typhoon

Правоохранительные органы США разрушили инфраструктуру пресловутой спонсируемой Китаем группы кибератак, известной как Volt Typhoon.

Расширенная постоянная угроза (APT), о которой директор ФБР Кристофер Рэй сказал на этой неделе является «определяющей киберугрозой этой эпохи», известен тем, что управляет разросшимся ботнетом, созданным путем компрометации плохо защищенные маршрутизаторы для малых и домашних офисов (SOHO). Поддерживаемая государством группировка использует его в качестве стартовой площадки для других атак, особенно на критически важную инфраструктуру США, поскольку из-за распределенного характера ботнета его активность трудно отследить.

После Сообщается об уничтожении «Вольт-Тайфуна» агентством Reuters ранее на этой неделе, официальные лица США подтвердил исполнительное производство вчера поздно. ФБР имитировало сеть управления и контроля (C2) злоумышленника, чтобы отправить удаленный аварийный выключатель на маршрутизаторы, зараженные вредоносным ПО «KV Botnet», используемым группой, сообщило оно.

«В ходе санкционированной судом операции было удалено вредоносное ПО KV Botnet с маршрутизаторов и предприняты дополнительные шаги для разрыва их соединения с ботнетом, такие как блокировка связи с другими устройствами, используемыми для управления ботнетом», — говорится в заявлении ФБР.

Он добавил, что «подавляющее большинство маршрутизаторов, входящих в состав ботнета KV, были маршрутизаторами Cisco и Netgear, которые были уязвимы, поскольку достигли статуса «конец срока службы»; то есть они больше не поддерживались исправлениями безопасности их производителя или другими обновлениями программного обеспечения».

Хотя молчаливое проникновение в периферийное оборудование, принадлежащее сотням малых предприятий, может показаться тревожным, федеральные органы подчеркнули, что это не дает доступа к информации и не влияет на законные функции маршрутизаторов. Кроме того, владельцы маршрутизаторов могут устранить меры защиты, перезапустив устройства, хотя это сделает их уязвимыми для повторного заражения.

Промышленное буйство «Вольт-тайфуна» продолжится

«Вольт Тайфун» (также известный как «Бронзовый силуэт» и «Авангардная панда») является частью более широких усилий Китая по проникновению в коммунальные предприятия, компании энергетического сектора, военные базы, телекоммуникационные компании, а также промышленные объекты для размещения вредоносного ПО и подготовки к подрывным и разрушительным атакам в будущем. Цель состоит в том, чтобы нанести ущерб способности США реагировать в случае начала динамичной войны из-за Тайваня или торговых проблем в Южно-Китайском море, предупредили на этой неделе Рэй и другие официальные лица.

Это растущий отход от обычных хакерских и шпионских операций Китая. «Кибервойна, ориентированная на критически важные услуги, такие как коммунальные услуги и водоснабжение, указывает на другой финал [чем кибершпионаж]», — говорит Остин Берглас, глобальный руководитель профессиональных услуг BlueVoyant и бывший специальный агент киберотдела ФБР. «Больше акцент делается не на преимуществе, а на уроне и опорных пунктах».

Учитывая, что перезагрузка маршрутизатора открывает устройства для повторного заражения, а также тот факт, что Volt Typhoon определенно имеет другие способы запуска скрытых атак на свою важнейшую инфраструктуру, судебный иск неизбежно станет лишь временным нарушением работы APT — факт, который даже ФБР признало это в своем заявлении.

«Действия правительства США, вероятно, существенно нарушили инфраструктуру Volt Typhoon, но сами злоумышленники остаются на свободе», — сообщил по электронной почте Тоби Льюис, руководитель глобального отдела анализа угроз в Darktrace. «Атака на инфраструктуру и демонтаж возможностей злоумышленников обычно приводит к периоду молчания со стороны участников, когда они восстанавливают и переоснащают, что мы, вероятно, и увидим сейчас».

Несмотря на это, хорошая новость заключается в том, что США теперь «разбираются» в стратегии и тактике Китая, говорит Сандра Джойс, вице-президент Mandiant Intelligence — Google Cloud, которая работала с федеральными властями над срывом. Она говорит, что в дополнение к использованию распределенного ботнета для постоянного смещения источника своей активности, чтобы оставаться вне поля зрения, Volt Typhoon также уменьшает количество сигнатур, которые защитники используют для охоты за ними в сетях, и избегают использования любых двоичных файлов, которые могут противостоять выступают в качестве индикаторов компрометации (IoC).  

Тем не менее, «подобную деятельность чрезвычайно сложно отследить, но вполне возможно», — говорит Джойс. «Целью «Вольт Тайфуна» было незаметно окопаться. на случай непредвиденных обстоятельств, не привлекая к себе внимания. К счастью, «Вольт Тайфун» не остался незамеченным, и хотя охота непростая, мы уже адаптируемся, чтобы улучшить сбор разведданных и помешать этому злоумышленнику. Мы видим их приближение, мы знаем, как их идентифицировать, и, что наиболее важно, мы знаем, как укрепить сети, на которые они нацелены».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet