Представители ФБР заявили, что им удалось ликвидировать ботнет KV, используемый хакерами из китайской группировки Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) для уклонения от обнаружения во время атак, которые нацелены на критическую инфраструктуру США.
Сообщается, что Volt Typhoon применяла малварь KV (она же KV-botnet) для взлома и захвата сотен SOHO-роутеров по всей территории США и использовала их, чтобы смешать свою вредоносную деятельность с обычным сетевым трафиком, в итоге скрываясь от обнаружения.
«Одной из функций ботнета KV является передача зашифрованного трафика между зараженными маршрутизаторами, что позволяет хакерам анонимизировать свою деятельность (то есть создается впечатление, что они действуют с SOHO-маршрутизаторов, а не с их реальных компьютеров в Китае)», — сообщают в ФБР.
Среди взломанных и добавленных в ботнет устройств были маршрутизаторы Netgear ProSAFE, Cisco RV320s и DrayTek Vigor, а также IP-камеры Axis, как сообщали ранее исследователи Black Lotus Labs, которые в декабре прошлого года впервые связали эту малварь с китайской хак-группой.
Также стоит отметить, что согласно отчету SecurityScorecard, опубликованному в начале этого месяца, Volt Typhoon смогла захватить около 30% всех устройств Cisco RV320/325, доступных в сети, и для этого хакерам понадобилось всего около месяца.
Ранее специалисты Microsoft писали, что за последние годы группировка закрепилась в критически важных инфраструктурных средах на всей территории США и Гуама (остров, имеющий статус неинкорпорированной организованной территории США, на котором размещено несколько военных баз), похищая учетные данные, конфиденциальную информацию и оставаясь практически незамеченной.
«Вредоносное ПО Volt Typhoon позволяло Китаю скрывать предоперационную деятельность и эксплуатацию сетей критически важных объектов инфраструктуры в секторах связи, энергетики, транспорта и водоснабжения. Другими словами, Китай предпринимал шаги по поиску и подготовке к разрушению или ослаблению критически важных объектов гражданской инфраструктуры, которые обеспечивают нашу безопасность и стабильность, — заявил директор ФБР Кристофер Рэй (Christopher Wray). — Поэтому, совместно с партнерами, ФБР провело санкционированную судом сетевую операцию, чтобы заблокировать Volt Typhoon и доступ, которым пользовались [злоумышленники]».
Упомянутая операция ФБР началась 6 декабря 2023 года, когда правоохранительные органы получили судебный ордер, разрешающий уничтожить ботнет после взлома его управляющих серверов.
Специалисты отправили команды на взломанные устройства, чтобы отключить их от ботнета и не дать китайским хакерам скомпрометировать их снова. Другая команда вынудила вредоносное ПО удалить с устройств VPN-компонент ботнета и заблокировала хакерам возможность использовать роутеры для проведения дальнейших атак.
«Подавляющее большинство маршрутизаторов, входивших в ботнет KV, были устройствами Cisco и NetGear, которые оказались уязвимы, поскольку достигли окончания срока эксплуатации, то есть больше не получали исправлений безопасности от производителя или других обновлений, — поясняет Министерство юстиции США. — В ходе санкционированной судом операции вредоносное ПО ботнета KV было удалено с маршрутизаторов, а также были предприняты дополнительные шаги для разрыва их связи с ботнетом, например, блокировка связи с другими устройствами, используемыми для управления ботнетом».
При этом отмечается, что все профилактические меры перестанут действовать, если маршрутизаторы будут перезапущены. То есть после перезагрузки устройства снова станут уязвимы для атак.
Также на этой неделе CISA и ФБР выпустили руководство для производителей SOHO-маршрутизаторов, призвав их обеспечить защиту от продолжающихся атак группировки Volt Typhoon. Эти рекомендации включают автоматизацию обновлений безопасности, предоставление доступа к веб-интерфейсам управления только через LAN, а также устранение уязвимостей на этапах проектирования и разработки устройств.
