Federalci potrjujejo oddaljeno uničenje SOHO botneta Volt Typhoon

Ameriški organi pregona so prekinili infrastrukturo razvpite kibernetske skupine, ki jo sponzorira Kitajska, znane kot Volt Typhoon.

Napredna trajna grožnja (APT), ki jo direktor FBI Christopher Wray je dejal ta teden je "definicija kibernetske grožnje te dobe," je znan po upravljanju obsežnega botneta, ustvarjenega z ogrožanjem slabo zaščiteni usmerjevalniki za male pisarne/domače pisarne (SOHO).. Skupina, ki jo podpira država, ga uporablja kot lansirno ploščad za druge napade, zlasti na kritično infrastrukturo ZDA, ker je zaradi porazdeljene narave botneta dejavnosti težko izslediti.

Po Prijavljena je bila odstranitev Volt Typhoon Reuters v začetku tega tedna, ameriški uradniki potrdil izvršbo včeraj pozno. FBI je posnemal napadalčevo omrežje za ukaze in nadzor (C2), da bi poslal stikalo za oddaljeno zaustavitev na usmerjevalnike, okužene z zlonamerno programsko opremo "KV Botnet", ki jo uporablja skupina, je objavil.

"Operacija, ki jo je odobrilo sodišče, je izbrisala zlonamerno programsko opremo KV Botnet iz usmerjevalnikov in sprejela dodatne korake za prekinitev njihove povezave z botnetom, kot je blokiranje komunikacije z drugimi napravami, ki se uporabljajo za nadzor botneta," v skladu z izjavo FBI.

Dodalo je, da je bila »velika večina usmerjevalnikov, ki so sestavljali KV Botnet, usmerjevalniki Cisco in Netgear, ki so bili ranljivi, ker so dosegli status 'konec življenjske dobe'; to pomeni, da niso bili več podprti z varnostnimi popravki proizvajalca ali drugimi posodobitvami programske opreme.«

Medtem ko se lahko tiho poseganje v robno opremo, ki je v lasti stotin malih podjetij, zdi zaskrbljujoče, so zvezni organi poudarili, da ni dostopal do nobenih informacij in ni vplival na zakonite funkcije usmerjevalnikov. Lastniki usmerjevalnikov lahko odpravijo ublažitve s ponovnim zagonom naprav – čeprav bi bile zaradi tega dovzetne za ponovno okužbo.

Industrijsko divjanje Volta Typhoona se bo nadaljevalo

Volt Typhoon (alias Bronze Silhouette in Vanguard Panda) je del širšega kitajskega prizadevanja za infiltracijo v komunalna podjetja, podjetja v energetskem sektorju, vojaške baze, telekomunikacijska podjetja, in industrijska mesta, da bi postavili zlonamerno programsko opremo v pripravo na moteče in uničujoče napade po vrsti. Cilj je biti v položaju, da bi škodili zmožnosti ZDA, da se odzovejo v primeru začetka kinetične vojne zaradi Tajvana ali trgovinskih vprašanj v Južnokitajskem morju, so ta teden opozorili Wray in drugi uradniki.

To je rast odmik od običajnih kitajskih hekerskih in vohunskih operacij. »Kibernetska vojna, ki se osredotoča na kritične storitve, kot so komunalne storitve in voda, kaže na drugačno končnico [kot kibernetsko vohunjenje],« pravi Austin Berglas, globalni vodja strokovnih služb pri BlueVoyantu in nekdanji posebni agent FBI-jevega oddelka za kibernetiko. "Osredotočenost ni več na prednosti, ampak na škodi in trdnjavah."

Glede na to, da ponovni zagoni usmerjevalnika odprejo naprave za ponovno okužbo, in dejstvo, da ima Volt Typhoon zagotovo druge načine za sprožitev prikritih napadov na svojo kritično infrastrukturo, bo pravni postopek zagotovo le začasna motnja za APT – dejstvo, da celo FBI je v svoji izjavi priznal.

"Ukrepi vlade ZDA so verjetno močno motili infrastrukturo Volt Typhoon, vendar napadalci sami ostajajo svobodni," je po elektronski pošti sporočil Toby Lewis, globalni vodja analize groženj pri Darktrace. "Ciljanje na infrastrukturo in razstavljanje zmogljivosti napadalcev običajno vodi v obdobje tišine akterjev, kjer se znova zgradijo in opremijo, kar bomo verjetno videli zdaj."

Kljub temu je dobra novica, da so ZDA zdaj "na koraku" s kitajsko strategijo in taktiko, pravi Sandra Joyce, podpredsednica podjetja Mandiant Intelligence – Google Cloud, ki je pri motnji sodelovalo s federalci. Pravi, da Volt Typhoon poleg uporabe porazdeljenega botneta za nenehno premikanje vira svoje dejavnosti, da bi ostali pod radarjem, zmanjša tudi podpise, ki jih zagovorniki uporabljajo za lov nanje po omrežjih, in se izogibajo uporabi kakršnih koli binarnih datotek, ki bi lahko obstajale. kot indikatorji kompromisa (IoC).  

Kljub temu je "takšni dejavnosti izjemno težko slediti, ni pa nemogoče," pravi Joyce. “Namen Volta Typhoona je bil tiho vkopati se za nepredviden dogodek, ne da bi pritegnil pozornost nase. Na srečo Volt Typhoon ni ostal neopažen, in čeprav je lov zahteven, se že prilagajamo, da bi izboljšali zbiranje obveščevalnih podatkov in preprečili tega akterja. Vidimo, da prihajajo, vemo, kako jih prepoznati, in kar je najpomembneje, vemo, kako utrditi omrežja, na katera ciljajo.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet