Feds bekräftar fjärrdödande av Volt Typhoons SOHO-botnät

Amerikanska brottsbekämpande myndigheter har stört infrastrukturen för den ökända Kina-sponsrade cyberattackgruppen känd som Volt Typhoon.

Det avancerade ihållande hotet (APT), som FBI-chefen Christopher Wray sa i veckan är "den här erans avgörande cyberhot", är känd för att hantera ett vidsträckt botnät skapat genom att kompromissa dåligt skyddade routrar för små kontor/hemmakontor (SOHO).. Den statsstödda gruppen använder den som en startplatta för andra attacker, särskilt på amerikansk kritisk infrastruktur, eftersom botnätets distribuerade karaktär gör aktiviteten svår att spåra.

Efter Volt Typhoon nedläggning rapporterades av Reuters tidigare i veckan, amerikanska tjänstemän bekräftade verkställighetsåtgärden sent igår. FBI efterliknade angriparens kommando-och-kontroll-nätverk (C2) för att skicka en fjärravbrottsswitch till routrar infekterade av skadlig programvara "KV Botnet" som används av gruppen, meddelade den.

"Den domstol auktoriserade operationen raderade KV Botnet-skadlig programvara från routrarna och vidtog ytterligare åtgärder för att avbryta deras anslutning till botnätet, som att blockera kommunikation med andra enheter som används för att kontrollera botnätet", enligt FBI:s uttalande.

Den tillade att "den stora majoriteten av routrar som bestod av KV Botnet var Cisco- och Netgear-routrar som var sårbara eftersom de hade nått "slutet på livet"-status; det vill säga att de inte längre stöddes genom tillverkarens säkerhetskorrigeringar eller andra programuppdateringar.”

Även om det kan verka alarmerande att tyst sträcka sig in i kantutrustningen som ägs av hundratals småföretag, betonade Fed att den inte fick tillgång till någon information och inte påverkade några legitima funktioner hos routrarna. Och routerägare kan ta bort begränsningarna genom att starta om enheterna - även om detta skulle göra dem mottagliga för återinfektion.

Volt Typhoons industriella framfart kommer att fortsätta

Volt Typhoon (alias Bronze Silhouette och Vanguard Panda) är en del av en bredare kinesisk satsning för att infiltrera kraftbolag, energibolag, militärbaser, telekomföretag, och industrisajter för att få fotfäste skadlig programvara, som förberedelse för störande och destruktiva attacker längre fram. Målet är att vara i position för att skada USA:s förmåga att svara i händelse av att ett kinetiskt krig startar över Taiwan eller handelsfrågor i Sydkinesiska havet, Wray och andra tjänstemän varnade denna vecka.

Det är en växande avvikelse från Kinas vanliga hack-and-spion-verksamhet. "Cyberkrigföring med fokus på kritiska tjänster som verktyg och vatten indikerar ett annat slutspel [än cyberspionage]", säger Austin Berglas, global chef för professionella tjänster på BlueVoyant och en tidigare specialagent för FBI:s cyberdivision. "Inte längre är fokus på fördel, utan på skada och fästen."

Med tanke på att routern startar om och öppnar enheterna för återinfektion, och det faktum att Volt Typhoon säkerligen har andra sätt att sätta igång smygande attacker mot sitt stenbrott för kritisk infrastruktur, kommer den rättsliga åtgärden att vara en endast tillfällig störning för APT – ett faktum som även FBI erkände i sitt uttalande.

"Den amerikanska regeringens agerande har sannolikt avsevärt stört Volt Typhoons infrastruktur, men angriparna själva förblir fria", sa Toby Lewis, global chef för hotanalys på Darktrace, via e-post. "Riktning på infrastruktur och demontering av angriparkapacitet leder vanligtvis till en period av tystnad från aktörerna där de bygger om och gör om, vilket vi förmodligen kommer att se nu."

Trots det är de goda nyheterna att USA är "på" Kinas strategi och taktik nu, säger Sandra Joyce, vice vd för Mandiant Intelligence – Google Cloud, som arbetade med Fed om störningen. Hon säger att förutom att använda ett distribuerat botnät för att ständigt flytta källan till deras aktivitet för att hålla sig under radarn, minskar Volt Typhoon också signaturerna som försvarare använder för att jaga dem över nätverk, och de undviker användningen av binärfiler som kan stå ut som indikatorer på kompromiss (IoCs).  

Ändå är "aktivitet som denna extremt utmanande att spåra, men inte omöjligt", säger Joyce. "Volt Typhoons syfte var att gräva i tyst för en händelse utan att dra uppmärksamheten till sig själv. Som tur är har Volt Typhoon inte gått obemärkt förbi, och även om jakten är utmanande, anpassar vi oss redan för att förbättra insamlingen av intelligens och omintetgöra den här skådespelaren. Vi ser dem komma, vi vet hur man identifierar dem, och viktigast av allt vet vi hur man förstärker de nätverk de riktar sig till."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet