Οι κινεζικοί χάκερ του κινεζικού
Volt Typhoon
απέτυχαν να αναβιώσουν ένα botnet
που
καταργήθηκε πρόσφατα από το FBI, το οποίο χρησιμοποιήθηκε στο παρελθόν σε επιθέσεις με στόχο κρίσιμες υποδομές σε όλες τις Ηνωμένες Πολιτείες.
Πριν από την κατάργηση του KV-botnet, επέτρεψε στην ομάδα απειλών Volt Typhoon (γνωστή και ως Bronze Silhouette) να διαμεσολαβήσει κακόβουλη δραστηριότητα μέσω εκατοντάδων παραβιασμένων γραφείων μικρών γραφείων/οικιών (SOHO) σε όλες τις ΗΠΑ για να αποφύγει τον εντοπισμό.
Ωστόσο, μετά την απόκτηση α
δικαστική εντολή
εξουσιοδοτώντας το να διαλύσει το botnet στις 6 Δεκεμβρίου, πράκτορες του FBI ανέλαβαν τον έλεγχο ενός από τους διακομιστές του Command-and-Control (C2) και έκοψαν την πρόσβαση των Κινέζων χάκερ στις μολυσμένες συσκευές (δηλ., το Netgear ProSAFE στο τέλος της ζωής του, Cisco RV320s και δρομολογητές DrayTek Vigor και κάμερες IP Axis).
Δύο μέρες αργότερα, η Volt Typhoon άρχισε να σαρώνει το Διαδίκτυο για πιο ευάλωτες συσκευές για να παραβιάσουν και να ξαναφτιάξουν το αποσυναρμολογημένο botnet.
Σύμφωνα με μια αναφορά από την ομάδα Black Lotus Labs της Lumen Technologies, οι παράγοντες της απειλής πραγ
ματ
οποίησαν επίθεση μεγάλης κλίμακας σε 3.045 συσκευές, συμπεριλαμβανομένου του ενός τρίτου όλων των δρομολογητών NetGear ProSAFE που εκτέθηκαν στο διαδίκτυο παγκοσμίως. Από αυτές τις προσπάθειες, κατάφεραν να μολύνουν 630 συσκευές
«Παρατηρήσαμε μια σύντομη αλλά συγκεντρωμένη περίοδο δραστηριότητας εκμετάλλευσης στις αρχές Δεκεμβρίου 2023, καθώς οι παράγοντες της απειλής προσπάθησαν να αποκαταστήσουν τη δομή διοίκησης και ελέγχου (C2) και να επαναφέρουν το botnet σε κατάσταση λειτουργίας», η ομάδα Black Lotus Labs της Lumen Technologies.
είπε
.
«Σε μια τριήμερη περίοδο από τις 8 Δεκεμβρίου έως τις 11 Δεκεμβρίου 2023, οι φορείς εκμετάλλευσης KV-botnet στόχευσαν περίπου το 33% των συσκευών NetGear ProSAFE στο Διαδίκτυο για επανεκμετάλλευση, συνολικά 2.100 ξεχωριστές συσκευές».
Μηνιαία δραστηριότητα KV-botnet (Black Lotus Labs)
Ωστόσο, παρά τις συντονισμένες προσπάθειές τους, η Black Lotus Labs απέτρεψε τις προσπάθειες των Κινέζων χάκερ να αναβιώσουν το botnet δρομολογώντας ολόκληρο τον στόλο διακομιστών C2 και ωφέλιμου φορτίου του εισβολέα σε διάστημα ενός μήνα, μεταξύ 12 Δεκεμβρίου και 12 Ιανουαρίου.
Από τότε που παρατηρήθηκε ο τελευταίος φάρος KV-botnet στις 3 Ιανουαρίου, δεν έχουν ενεργοποιηθεί άλλοι διακομιστές C2.
“Η έλλειψη ενεργού διακομιστή C2 σε συνδυασμό με την εξουσιοδοτημένη από το δικαστήριο δράση του FBI κατά της επίμονης μηδενικής δρομολόγησης της τρέχουσας και νέας
υποδομή
ς συμπλέγματος KV από το KV-botnet και Lumen Technologies παρέχει μια καλή ένδειξη ότι το σύμπλεγμα δραστηριοτήτων KV δεν είναι πλέον αποτελεσματικά ενεργό.” είπε η Black Lotus Labs.
Το Volt Typhoon έχει παραβιάσει τις κρίσιμες υποδομές των ΗΠΑ τουλάχιστον από τα μέσα του 2021, χρησιμοποιώντας ένα σύμπλεγμα KV-botnet από παραβιασμένα τείχη προστασίας Fortinet FortiGate (ενεργά έως τον Αύγουστο του 2023) ως εφαλτήριο για τις επιθέσεις τους.
Ο κατάλογος των οργανισμών που έχουν παραβιάσει και στοχεύουν οι Κινέζοι κατάσκοποι στον
κυβερνοχώρο
περιλαμβάνει στρατιωτικούς οργανισμούς των ΗΠΑ, παρόχους υπηρεσιών τηλεπικοινωνιών και διαδικτύου, καθώς και μια ευρωπαϊκή εταιρεία ανανεώσιμων πηγών ενέργειας.
Πριν από μία εβδομάδα, η CISA και το FBI προέτρεψαν τους κατασκευαστές δρομολογητών SOHO να διασφαλίσουν ότι οι συσκευές τους είναι ασφαλείς έναντι των συνεχιζόμενων επιθέσεων του Volt Typhoon, χρησιμοποιώντας προεπιλογές ασφαλούς διαμόρφωσης και εξαλείφοντας τα ελαττώματα της διεπαφής διαχείρισης ιστού κατά την ανάπτυξη.
VIA:
bleepingcomputer.com
