Группировка Volt Typhoon, стоящая за ботнетом KV (он же KV-botnet), пытается восстановиться после того как ФБР заявило о ликвидации ботента и очистке зараженных маршрутизаторов от малвари.
Напомним, что на прошлой неделе представители ФБР заявили, что им удалось ликвидировать ботнет KV, используемый хакерами из китайской группировки Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) для уклонения от обнаружения во время атак, которые нацелены на критическую инфраструктуру США.
Известно, что среди взломанных и добавленных в ботнет устройств были маршрутизаторы Netgear ProSAFE, Cisco RV320s и DrayTek Vigor, а также IP-камеры Axis, как сообщали ранее исследователи Black Lotus Labs, которые в декабре прошлого года связали эту малварь с китайской хак-группой.
Упомянутая операция началась 6 декабря 2023 года, когда правоохранительные органы получили судебный ордер, разрешающий уничтожить ботнет после взлома его управляющих серверов. Специалисты отправили команды на взломанные устройства, чтобы отключить их от ботнета и не дать китайским хакерам скомпрометировать их снова. Другая команда вынудила вредоносное ПО удалить с устройств VPN-компонент ботнета и заблокировала хакерам возможность использовать роутеры для проведения дальнейших атак.
Как теперь сообщают эксперты Black Lotus Labs, вскоре после атаки ФБР Volt Typhoon начала сканировать интернет в поисках новых уязвимых устройств, пытаясь начать восстановление уничтоженного ботнета. По словам исследователей, хакеры провели масштабную атаку на 3045 устройств, включая треть всех маршрутизаторов NetGear ProSAFE доступных в сети. В итоге хакерам удалось заразить около 630 устройств.
«В начале декабря 2023 года мы наблюдали краткий, но очень активный период эксплуатации, когда злоумышленники пытались восстановить свою управляющую инфраструктуру и вернуть ботнет в рабочее состояние, — пишут эксперты. — За три дня с 8 по 11 декабря 2023 года операторы ботнета KV атаковали для повторной эксплуатации около 33% всех устройств NetGear ProSAFE в интернете».
Black Lotus Labs заявляет, что пресекла попытки китайских хакеров возродить ботнет, осуществив null-routing для всех управляющих серверов и серверов полезных нагрузок злоумышленников с 12 декабря 2023 по 12 января 2024 года. Сообщается, что с тех пор последний маячок ботнета KV-ботнета был замечен 3 января , и ни один управляющий сервер так и не заработал.
«Отсутствие активной C&C-инфраструктуры, в сочетании с санкционированными судом действиями ФБР против ботента KV и активным null-routing для текущей и новой инфраструктуры KV-кластера, является верным признаком того, что кластер KV более неактивен», — заявили в Black Lotus Labs.
Однако уже обнаружены признаки того, что злоумышленники создали отдельный кластер ботнета под названием x.sh еще в январе 2023 года. Он состоит из зараженных маршрутизаторов Cisco и использует веб-шелл fys.sh, о чем предупреждали специалисты SecurityScorecard в прошлом месяце.
Предполагается, что ботнет KV — это лишь «одна из форм инфраструктуры, используемой Volt Typhoon для маскировки своей деятельности». Поэтому ожидается, что теперь действия ФБР и ИБ-экспертов побудят хакеров перейти к использованию другой скрытой сети.
«Значительный процент сетевого оборудования, используемого по всему миру, прекрасно функционирует, но уже не поддерживается, — говорят исследователи. — Конечные пользователи оказываются перед сложным финансовым выбором, когда устройство достигает этой точки, и многие даже не знают, что срок службы маршрутизатора или брандмауэра подходит к концу. Современные злоумышленники прекрасно понимают, что это благодатная почва для эксплуатации».