美联储确认远程消灭 Volt Typhoon 的 SOHO 僵尸网络

美国执法部门破坏了臭名昭著的中国资助的网络攻击组织 Volt Typhoon 的基础设施。

FBI 局长提出的高级持续威胁 (APT) 克里斯托弗·雷本周表示 是“这个时代的决定性网络威胁”，以管理通过妥协而创建的庞大僵尸网络而闻名 保护不善的小型办公室/家庭办公室 (SOHO) 路由器。该国家支持的组织将其用作其他攻击的启动板，特别是针对美国关键基础设施的攻击，因为僵尸网络的分布式性质使得活动难以追踪。

之后 据报道伏特台风被击落 路透社本周早些时候报道称，美国官员 确认执法行动 昨天晚些时候。联邦调查局 (FBI) 模仿攻击者的命令与控制 (C2) 网络，向受该组织使用的“KV 僵尸网络”恶意软件感染的路由器发送远程终止开关。

FBI 的声明称：“法院授权的行动从路由器中删除了 KV 僵尸网络恶意软件，并采取了额外措施来切断路由器与僵尸网络的连接，例如阻止与用于控制僵尸网络的其他设备的通信。”

它补充说，“构成 KV 僵尸网络的绝大多数路由器是 Cisco 和 Netgear 路由器，它们很容易受到攻击，因为它们已经达到‘生命周期结束’状态；也就是说，它们不再通过制造商的安全补丁或其他软件更新获得支持。”

虽然悄无声息地侵入数百家小企业拥有的边缘设备似乎令人震惊，但美联储强调，它没有获取任何信息，也没有影响路由器的合法功能。而且，路由器所有者可以通过重新启动设备来清除缓解措施，尽管这会使它们容易再次感染。

伏特台风的工业横冲直撞将继续

Volt Typhoon（又名青铜剪影和先锋熊猫）是中国渗透公用事业、能源行业公司、 军事基地、电信公司和工业站点，以便植入恶意软件，为后续的破坏性攻击做好准备。雷和其他官员本周警告说，其目标是在台湾或南海贸易问题爆发激烈战争时，能够损害美国的反应能力。

这是一个不断成长的 与中国通常的黑客和间谍活动不同。 BlueVoyant 专业服务全球主管、前 FBI 网络部门特工奥斯汀·贝尔格拉斯 (Austin Berglas) 表示：“针对公用事业和水务等关键服务的网络战表明[与网络间谍活动]不同的结局。” “重点不再是优势，而是伤害和据点。”

鉴于路由器重启会导致设备再次感染，而且 Volt Typhoon 肯定还有其他方法对其关键基础设施发起秘密攻击，因此法律行动对于 APT 来说肯定只是暂时的干扰——事实上，即使是FBI 在声明中承认了这一点。

Darktrace 全球威胁分析主管 Toby Lewis 通过电子邮件表示：“美国政府的行动可能严重破坏了 Volt Typhoon 的基础设施，但攻击者本身仍然逍遥法外。” “针对基础设施和拆除攻击者能力通常会导致攻击者重建和重新装备一段时间的安静期，我们现在可能会看到这种情况。”

即便如此，好消息是，美国现在正在“了解”中国的战略和战术，Mandiant Intelligence（谷歌云）副总裁桑德拉·乔伊斯（Sandra Joyce）表示，该公司与美联储合作应对此次破坏。她说，除了使用分布式僵尸网络不断转移其活动来源以保持在雷达之下之外，Volt Typhoon 还减少了防御者用于跨网络追捕它们的签名，并且他们避免使用任何可能存在的二进制文件作为妥协指标（IoC）。  

尽管如此，“追踪这样的活动极具挑战性，但并非不可能，”乔伊斯说。 “伏特台风的目的是悄悄地挖掘 以防发生意外而不会引起人们的注意。幸运的是，伏特台风并没有被忽视，尽管狩猎具有挑战性，但我们已经在适应改进情报收集并挫败这个演员。我们看到他们的到来，我们知道如何识别他们，最重要的是，我们知道如何强化他们所针对的网络。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet