Fed xác nhận việc tiêu diệt từ xa botnet SOHO của Volt Typhoon

Cơ quan thực thi pháp luật Hoa Kỳ đã phá vỡ cơ sở hạ tầng của nhóm tấn công mạng khét tiếng do Trung Quốc tài trợ có tên là Volt Typhoon.

Mối đe dọa dai dẳng nâng cao (APT), mà Giám đốc FBI Christopher Wray cho biết tuần này là “mối đe dọa mạng rõ ràng của thời đại này”, được biết đến với việc quản lý một mạng botnet rộng lớn được tạo ra bằng cách xâm phạm bộ định tuyến văn phòng nhỏ/văn phòng tại nhà (SOHO) được bảo vệ kém. Nhóm được nhà nước hậu thuẫn sử dụng nó làm bệ phóng cho các cuộc tấn công khác, đặc biệt là vào cơ sở hạ tầng quan trọng của Hoa Kỳ, vì tính chất phân tán của mạng botnet khiến hoạt động này khó bị theo dõi.

Sau Việc gỡ bỏ Volt Typhoon đã được báo cáo Theo Reuters vào đầu tuần này, các quan chức Mỹ xác nhận hành động cưỡng chế cuối ngày hôm qua. FBI đã bắt chước mạng chỉ huy và kiểm soát (C2) của kẻ tấn công để gửi một công tắc tiêu diệt từ xa tới các bộ định tuyến bị nhiễm phần mềm độc hại “KV Botnet” mà nhóm này sử dụng.

Tuyên bố của FBI cho biết: “Hoạt động được tòa án ủy quyền đã xóa phần mềm độc hại KV Botnet khỏi bộ định tuyến và thực hiện các bước bổ sung để cắt kết nối của chúng với mạng botnet, chẳng hạn như chặn liên lạc với các thiết bị khác được sử dụng để kiểm soát mạng botnet”.

Nó nói thêm rằng “phần lớn các bộ định tuyến bao gồm KV Botnet là các bộ định tuyến của Cisco và Netgear dễ bị tấn công vì chúng đã đạt đến trạng thái 'hết tuổi thọ'; nghĩa là chúng không còn được hỗ trợ thông qua các bản vá bảo mật của nhà sản xuất hoặc các bản cập nhật phần mềm khác nữa.”

Mặc dù việc âm thầm tiếp cận các thiết bị tiên tiến thuộc sở hữu của hàng trăm doanh nghiệp nhỏ có vẻ đáng báo động, nhưng Fed nhấn mạnh rằng nó không truy cập được thông tin và không ảnh hưởng đến chức năng hợp pháp của bộ định tuyến. Và chủ sở hữu bộ định tuyến có thể xóa các biện pháp giảm nhẹ bằng cách khởi động lại thiết bị — mặc dù điều này sẽ khiến chúng dễ bị tái nhiễm.

Cơn thịnh nộ công nghiệp của cơn bão Volt sẽ tiếp tục

Volt Typhoon (hay còn gọi là Bronze Silhouette và Vanguard Panda) là một phần trong nỗ lực rộng lớn hơn của Trung Quốc nhằm thâm nhập vào các công ty tiện ích, năng lượng, căn cứ quân sự, công ty viễn thôngvà các cơ sở công nghiệp nhằm phát triển phần mềm độc hại có chỗ đứng, nhằm chuẩn bị cho các cuộc tấn công gây rối và phá hoại trong tương lai. Mục tiêu là nhằm làm tổn hại đến khả năng phản ứng của Mỹ trong trường hợp một cuộc chiến tranh nổ ra vì vấn đề Đài Loan hoặc các vấn đề thương mại ở Biển Đông, Wray và các quan chức khác cảnh báo trong tuần này.

Nó đang phát triển thoát khỏi các hoạt động hack và gián điệp thông thường của Trung Quốc. Austin Berglas, người đứng đầu toàn cầu về dịch vụ chuyên nghiệp tại BlueVoyant và cựu đặc vụ bộ phận mạng của FBI, cho biết: “Chiến tranh mạng tập trung vào các dịch vụ quan trọng như tiện ích và nước cho thấy một kết cục khác [so với gián điệp mạng]”. “Không còn tập trung vào lợi thế nữa mà tập trung vào sát thương và thành trì.”

Do bộ định tuyến khởi động lại khiến các thiết bị bị tái nhiễm và thực tế là Volt Typhoon chắc chắn có những cách khác để thực hiện các cuộc tấn công lén lút nhằm vào mỏ cơ sở hạ tầng quan trọng của nó, nên hành động pháp lý chắc chắn chỉ là sự gián đoạn tạm thời đối với APT - một thực tế là ngay cả FBI thừa nhận trong tuyên bố của mình.

Toby Lewis, người đứng đầu phân tích mối đe dọa toàn cầu tại Darktrace, cho biết qua email: “Các hành động của chính phủ Hoa Kỳ có thể đã làm gián đoạn đáng kể cơ sở hạ tầng của Volt Typhoon, nhưng bản thân những kẻ tấn công vẫn tự do”. “Việc nhắm mục tiêu vào cơ sở hạ tầng và loại bỏ khả năng của kẻ tấn công thường dẫn đến một khoảng thời gian im lặng đối với các tác nhân để họ xây dựng lại và trang bị lại, điều mà chúng ta có thể sắp thấy bây giờ.”

Mặc dù vậy, tin tốt là Mỹ hiện đang “theo” chiến lược và chiến thuật của Trung Quốc, Sandra Joyce, phó chủ tịch của Mandiant Intelligence - Google Cloud, người đã làm việc với Fed về sự gián đoạn, cho biết. Cô ấy nói rằng ngoài việc sử dụng mạng botnet phân tán để liên tục chuyển nguồn hoạt động của họ sang trạng thái nằm trong tầm radar, Volt Typhoon còn giảm các chữ ký mà những người bảo vệ sử dụng để săn lùng chúng trên các mạng và họ tránh sử dụng bất kỳ mã nhị phân nào có thể tồn tại. coi là dấu hiệu của sự thỏa hiệp (IoC).  

Tuy nhiên, “hoạt động như thế này cực kỳ khó theo dõi nhưng không phải là không thể”, Joyce nói. “Mục đích của Volt Typhoon là âm thầm đào sâu cho một tình huống bất ngờ mà không thu hút sự chú ý đến chính nó. May mắn thay, Volt Typhoon đã không bị chú ý và mặc dù cuộc săn lùng đầy thử thách nhưng chúng tôi đã thích nghi để cải thiện việc thu thập thông tin tình báo và ngăn chặn tác nhân này. Chúng tôi thấy chúng đang đến, chúng tôi biết cách xác định chúng và quan trọng nhất là chúng tôi biết cách củng cố mạng lưới mà chúng đang nhắm mục tiêu”.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet