Grupul de hacking chinez susținut de stat, Volt Typhoon, a început să reconstruiască botnet-ul malware „KV-Botnet” după ce a fost perturbat de autorități în luna ianuarie, conform cercetătorilor de la SecurityScorecard.
Volt Typhoon este un grup de amenințare de cyber-spionaj susținut de statul chinez, care se crede că a infiltrat infrastructura critică din SUA, printre alte rețele la nivel mondial, de cel puțin cinci ani în urmă.
Strategia lor principală implică hackuirea routerelor SOHO și a dispozitivelor de rețea, precum firewall-urile Netgear ProSAFE, Cisco RV320, routerele DrayTek Vigor și camerele IP Axis, pentru a instala malware personalizat care stabilește canale de comunicare și proxy ascunse și menține accesul persistent la rețelele vizate.
În ianuarie 2024, autoritățile din SUA au anunțat perturbarea botnet-ului Volt Typhoon, care implica ștergerea malware-ului din routerele infectate.
Deși încercarea inițială de reînviere a Volt Typhoon în februarie a eșuat, rapoartele privind actorii de amenințare care exploatează o vulnerabilitate zero-day în august au indicat că grupul de amenințare a rămas foarte activ.
Potrivit unui raport de la SecurityScorecard, Volt Typhoon a început să reconstruiască botnet-ul său vizând routere Cisco și Netgear depășite și a compromis un număr semnificativ de dispozitive în doar peste o lună.
Aceste routere sunt compromise folosind malware bazat pe MIPS și webshell-uri care comunică pe porturi non-standard, făcând detectarea mai dificilă.
SecurityScorecard raportează că, începând din septembrie, Volt Typhoon s-a întors printr-o nouă rețea de dispozitive compromise situate în principal în Asia.
Botnet-ul KV, cunoscut și sub numele de ‘JDYFJ Botnet’ de către SecurityScorecard datorită certificatului SSL auto-semnat văzut în dispozitivele compromise, încearcă în principal să compromită dispozitivele Cisco RV320/325 și Netgear ProSafe.
Cercetătorii echipei STRIKE de la SecurityScorecard spun că, în doar 37 de zile, Volt Typhoon a compromis aproximativ 30% din toate dispozitivele Cisco RV320/325 expuse pe internet. Cu toate acestea, nu se știe în prezent cum sunt compromis aceste dispozitive.
„Nu știm în mod specific ce slăbiciune sau defect este exploatat. Cu toate acestea, deoarece dispozitivele sunt la finalul vieții lor, actualizările nu mai sunt furnizate”, au declarat cercetătorii pentru BleepingComputer.
De asemenea, cercetătorii au declarat pentru BleepingComputer că nu au nicio informație cu privire la ce malware este folosit în botnet-ul reînviat. Cu toate acestea, au remarcat că unele dintre aceleași dispozitive care au fost infectate înainte de acțiunea de combatere s-au alăturat din nou clusterului.
Operația principală a botnet-ului KV pare să fie mascarea activităților dăunătoare prin redirecționarea traficului prin infrastructura legitimă compromisă.
Serveuriele de comandă ale botnet-ului sunt înregistrate pe Digital Ocean, Quadranet și Vultr, pentru a obține o rețea mai diversă și mai rezistentă.
În mod interesant, Volt Typhoon folosește un dispozitiv VPN compromis situat în insula Pacificului Noua Caledonie ca un punte care redirecționează traficul între Asia-Pacific și America, acționând ca un centru furtunos.
Comentând această alegere, SecurityScorecard a declarat pentru BleepingComputer că este probabil o decizie bazată pe geografie din partea actorilor de amenințare.
Activitatea observată semnifică revenirea lui Volt Typhoon la operațiuni la nivel global, iar deși scala botnet-ului nu se apropie de iterațiile anterioare, hackerii chinezi sunt hotărâți să meargă mai departe cu persistență continuă.
Pentru a vă proteja împotriva acestei amenințări, dispozitivele router mai vechi și neacceptate ar trebui înlocuite cu modele noi, plasate în spatele firewall-urilor, accesul la panourile de administrare de la distanță nu ar trebui expus la internet, iar credențialele predefinite ale contului de admin ar trebui schimbate.
Dacă utilizați routere SOHO mai noi, asigurați-vă că instalați cea mai recentă versiune a firmware-ului pe măsură ce devine disponibilă pentru a remedia vulnerabilitățile cunoscute.
CISA: Vendorii trebuie să securizeze routerele SOHO împotriva atacurilor Volt Typhoon
Defectul Cisco permite hackerilor să ruleze comenzi ca root pe punctele de acces UWRB
Cisco afirmă că scurgerea de informații de pe site-ul DevHub nu va permite viitoare încălcări de securitate
Noile funcționalități Cisco ASA și FTD blochează atacurile brute-force asupra parolelor VPN
Cisco rezolvă defectul de securitate VPN descoperit în atacurile de pulverizare a parolelor
Leave a Reply