Федеральні органи підтвердили дистанційне знищення ботнету SOHO Volt Typhoon

Правоохоронні органи США порушили роботу інфраструктури сумнозвісної спонсорованої Китаєм групи кібератак, відомої як Volt Typhoon.

Розширена стійка загроза (APT), яку директор ФБР Крістофер Рей сказав цього тижня є «визначальною кіберзагрозою цієї епохи», відомий тим, що керує розгалуженим ботнетом, створеним компрометацією погано захищені маршрутизатори для малих/домашніх офісів (SOHO).. Підтримувана державою група використовує його як стартовий майданчик для інших атак, зокрема на критичну інфраструктуру США, оскільки розподілена природа ботнету ускладнює відстеження активності.

Після Повідомлено про ліквідацію Volt Typhoon Reuters на початку цього тижня офіційні особи США підтверджено вчинення виконавчого провадження вчора пізно. ФБР імітувало командно-контрольну мережу (C2) зловмисника, щоб надіслати дистанційний перемикач блокування на маршрутизатори, заражені шкідливим програмним забезпеченням «KV Botnet», яке використовується групою.

«Санкціонована судом операція видалила зловмисне програмне забезпечення KV Botnet з маршрутизаторів і вжила додаткових заходів для розриву їх з’єднання з ботнетом, наприклад, блокування зв’язку з іншими пристроями, які використовуються для контролю ботнету», — йдеться в заяві ФБР.

У ньому додано, що «переважна більшість маршрутизаторів, які складали ботнет KV, були маршрутизаторами Cisco та Netgear, які були вразливими, оскільки вони досягли статусу «кінець життєвого циклу»; тобто вони більше не підтримувалися через патчі безпеки їх виробника чи інші оновлення програмного забезпечення».

Хоча мовчазне втручання в периферійне обладнання, яке належить сотням малих підприємств, може здатися тривожним, федеральні органи підкреслили, що воно не має доступу до інформації та не впливає на законні функції маршрутизаторів. Крім того, власники маршрутизаторів можуть очистити захист, перезавантаживши пристрої, хоча це зробить їх чутливими до повторного зараження.

Індустріальний буйство Volt Typhoon продовжиться

Volt Typhoon (він же «Бронзовий силует» і «Авангардна панда») є частиною ширшої китайської спроби проникнути в комунальні служби, компанії енергетичного сектора, військові бази, телекомунікаційні компаніїі промислові сайти, щоб розмістити зловмисне програмне забезпечення, щоб підготуватися до підривних і руйнівних атак. Мета полягає в тому, щоб бути в змозі зашкодити здатності США реагувати у випадку, якщо почнеться кінетична війна за Тайвань або торгові проблеми в Південно-Китайському морі, попередили Рей та інші офіційні особи цього тижня.

Це росте відхід від звичайних китайських хакерських і шпигунських операцій. «Кібервійна, зосереджена на критично важливих службах, таких як комунальні послуги та водопостачання, вказує на інший фінал [ніж кібершпигунство]», — каже Остін Берглас, глобальний керівник професійних послуг BlueVoyant і колишній спеціальний агент кібервідділу ФБР. «У центрі уваги більше не перевага, а збиток і опорні пункти».

З огляду на те, що перезавантаження маршрутизатора відкриває пристрої для повторного зараження, а також той факт, що Volt Typhoon, безумовно, має інші способи здійснювати приховані атаки на свою критичну інфраструктуру, судовий позов неминуче буде лише тимчасовим збоєм для APT — факт, що навіть Про це визнало ФБР у своїй заяві.

«Дії уряду США, ймовірно, суттєво порушили інфраструктуру Volt Typhoon, але самі зловмисники залишаються на волі», — повідомив Тобі Льюїс, глобальний керівник відділу аналізу загроз у Darktrace, по електронній пошті. «Націлювання на інфраструктуру та демонтаж можливостей зловмисників зазвичай призводить до періоду тиші з боку акторів, коли вони перебудовують і переобладнують, що ми, ймовірно, зараз побачимо».

Незважаючи на це, хороша новина полягає в тому, що США зараз «розуміють» стратегію і тактику Китаю, каже Сандра Джойс, віце-президент Mandiant Intelligence — Google Cloud, яка працювала з Федеральними федеральними властями над зривом. Вона каже, що окрім використання розподіленої бот-мережі для постійного переміщення джерела своєї активності, щоб залишатися поза увагою, Volt Typhoon також зменшує кількість сигнатур, які захисники використовують для полювання на них у мережах, і вони уникають використання будь-яких двійкових файлів, які можуть стояти. як індикатори компромісу (IoC).  

Тим не менш, «подібну діяльність надзвичайно складно відстежити, але не неможливо», — каже Джойс. «Метою Volt Typhoon було тихо закопатися на випадок, не привертаючи до себе уваги. На щастя, Volt Typhoon не залишився непоміченим, і, незважаючи на те, що полювання складне, ми вже адаптуємось, щоб покращити збір розвідувальних даних і перешкодити цьому актору. Ми бачимо, як вони приходять, ми знаємо, як їх ідентифікувати, і, що найважливіше, ми знаємо, як зміцнити мережі, на які вони націлені».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet