Правительство США в среду заявило, что предприняло шаги по нейтрализации ботнета, состоящего из сотен маршрутизаторов малого офиса и домашнего офиса в США (SOHO), захваченных связанным с Китаем государственным агентом по угрозам под названием Volt Typhoon, и ослабило воздействие хакерской кампании.
Существование ботнета, получившего название KV-botnet, было впервые раскрыто командой Black Lotus Labs в Lumen Technologies в середине декабря 2023 года. Ранее на этой неделе агентство Reuters сообщило об усилиях правоохранительных органов.
"Подавляющее большинство маршрутизаторов, входящих в состав KV-ботнета, были маршрутизаторами Cisco и NetGear, которые были уязвимы, поскольку достигли состояния "окончания срока службы"; то есть они больше не поддерживались исправлениями безопасности их производителя или другими обновлениями программного обеспечения", - сказал в заявлении для прессы Министерство юстиции (DoJ).
Volt Typhoon (он же DEV-0391, Бронзовый силуэт, Коварный Телец или Авангардная Панда) - прозвище, присвоенное базирующемуся в Китае враждебному коллективу, которому приписывают кибератаки на критически важные сектора инфраструктуры в США и на Гуаме.
"Китайские киберпреступники, включая группу, известную как "Volt Typhoon", глубоко проникают в нашу критически важную инфраструктуру, чтобы быть готовыми к проведению разрушительных кибератак в случае крупного кризиса или конфликта с Соединенными Штатами", - отметила директор CISA Джен Истерли.
Группа кибершпионажа, которая, как считается, действует с 2021 года, известна своей зависимостью от законных инструментов и методов проживания за пределами суши (LotL), позволяющих оставаться незамеченной и длительное время оставаться в среде жертв для сбора конфиденциальной информации.
Еще одним важным аспектом его способа работы является то, что он пытается вписаться в обычную сетевую активность, направляя трафик через скомпрометированное сетевое оборудование SOHO, включая маршрутизаторы, брандмауэры и оборудование VPN, в попытке скрыть их происхождение.
Это достигается с помощью KV-ботнета, который реквизирует устройства Cisco, DrayTek, Fortinet и NETGEAR для использования в качестве скрытой сети передачи данных для продвинутых участников постоянной угрозы. Есть подозрение, что операторы ботнета предлагают свои услуги другим хакерским организациям, включая Volt Typhoon.
В январе 2024 года отчет фирмы по кибербезопасности SecurityScorecard показал, что ботнет был ответственен за компрометацию 30% — или 325 из 1116 — устаревших маршрутизаторов Cisco RV320 / 325 за 37-дневный период с 1 декабря 2023 года по 7 января 2024 года.
"Volt Typhoon является по крайней мере одним пользователем KV-ботнета, и [...] этот ботнет охватывает подмножество их операционной инфраструктуры", - заявили в Lumen Black Lotus Labs, добавив, что ботнет "активен как минимум с февраля 2022 года".
Ботнет также предназначен для загрузки модуля виртуальной частной сети (VPN) на уязвимые маршрутизаторы и настройки прямого зашифрованного канала связи для управления ботнетом и использования его в качестве промежуточного ретрансляционного узла для достижения своих операционных целей.
"Одной из функций KV-ботнета является передача зашифрованного трафика между зараженными маршрутизаторами SOHO, что позволяет хакерам анонимизировать свои действия (т. Е. Хакеры, по-видимому, работают с маршрутизаторов SOHO, а не со своих реальных компьютеров в Китае)", - говорится в письменных показаниях под присягой, поданных Федеральным бюро расследований США (ФБР).
В рамках своих усилий по разрушению ботнета агентство заявило, что удаленно отдавало команды маршрутизаторам в США, используя протоколы связи вредоносного ПО, чтобы удалить полезную нагрузку KV-ботнета и предотвратить их повторное заражение. ФБР заявило, что также уведомило каждую жертву об операции либо напрямую, либо через их интернет-провайдера, если контактная информация была недоступна.
"Санкционированная судом операция удалила вредоносное ПО KV-botnet с маршрутизаторов и предприняла дополнительные шаги для разрыва их соединения с ботнетом, такие как блокирование связи с другими устройствами, используемыми для управления ботнетом", - добавило Министерство юстиции.
Здесь важно отметить, что неуказанные профилактические меры, используемые для удаления маршрутизаторов из ботнета, являются временными и не могут пережить перезагрузку. Другими словами, простой перезапуск устройств сделает их восприимчивыми к повторному заражению.
"Вредоносная программа Volt Typhoon позволила Китаю скрыть, среди прочего, предоперационную разведку и использование сети против критически важных объектов инфраструктуры, таких как наш сектор связи, энергетики, транспорта и водоснабжения - другими словами, шаги, которые Китай предпринимал, чтобы найти и подготовиться к уничтожению или деградации гражданской критически важной инфраструктуры, которая обеспечивает безопасность и процветание сша", – сказал директор ФБР Кристофер Рэй.
Однако китайское правительство в заявлении, которым поделилось агентство Рейтер, отрицало какую-либо причастность к атакам, назвав это "кампанией дезинформации" и заявив, что оно "категорически выступало против хакерских атак и злоупотребления информационными технологиями".
Одновременно с выводом из эксплуатации Агентство кибербезопасности и инфраструктуры США (CISA) опубликовало новое руководство, призывающее производителей устройств SOHO применять конструктивный подход к разработке и переложить бремя ответственности на заказчиков.
В частности, производителям рекомендуется устранить дефекты, которые могут быть использованы в веб-интерфейсах управления маршрутизаторами SOHO, и изменить конфигурации устройств по умолчанию для поддержки возможностей автоматического обновления и потребовать ручного переопределения для удаления настроек безопасности.
Компрометация периферийных устройств, таких как маршрутизаторы, для использования в продвинутых постоянных атаках, проводимых Россией и Китаем, подчеркивает растущую проблему, которая усугубляется тем фактом, что устаревшие устройства больше не получают исправлений безопасности и не поддерживают решения для обнаружения конечных точек и реагирования (EDR).
"Создание продуктов, в которых отсутствуют соответствующие средства контроля безопасности, неприемлемо, учитывая текущую среду угроз", - сказал CISA. "Этот случай иллюстрирует, как отсутствие методов обеспечения безопасности при проектировании может привести к реальному ущербу как для клиентов, так и, в данном случае, для критически важной инфраструктуры нашей страны".
Существование ботнета, получившего название KV-botnet, было впервые раскрыто командой Black Lotus Labs в Lumen Technologies в середине декабря 2023 года. Ранее на этой неделе агентство Reuters сообщило об усилиях правоохранительных органов.
"Подавляющее большинство маршрутизаторов, входящих в состав KV-ботнета, были маршрутизаторами Cisco и NetGear, которые были уязвимы, поскольку достигли состояния "окончания срока службы"; то есть они больше не поддерживались исправлениями безопасности их производителя или другими обновлениями программного обеспечения", - сказал в заявлении для прессы Министерство юстиции (DoJ).
Volt Typhoon (он же DEV-0391, Бронзовый силуэт, Коварный Телец или Авангардная Панда) - прозвище, присвоенное базирующемуся в Китае враждебному коллективу, которому приписывают кибератаки на критически важные сектора инфраструктуры в США и на Гуаме.
"Китайские киберпреступники, включая группу, известную как "Volt Typhoon", глубоко проникают в нашу критически важную инфраструктуру, чтобы быть готовыми к проведению разрушительных кибератак в случае крупного кризиса или конфликта с Соединенными Штатами", - отметила директор CISA Джен Истерли.
Группа кибершпионажа, которая, как считается, действует с 2021 года, известна своей зависимостью от законных инструментов и методов проживания за пределами суши (LotL), позволяющих оставаться незамеченной и длительное время оставаться в среде жертв для сбора конфиденциальной информации.
Еще одним важным аспектом его способа работы является то, что он пытается вписаться в обычную сетевую активность, направляя трафик через скомпрометированное сетевое оборудование SOHO, включая маршрутизаторы, брандмауэры и оборудование VPN, в попытке скрыть их происхождение.
Это достигается с помощью KV-ботнета, который реквизирует устройства Cisco, DrayTek, Fortinet и NETGEAR для использования в качестве скрытой сети передачи данных для продвинутых участников постоянной угрозы. Есть подозрение, что операторы ботнета предлагают свои услуги другим хакерским организациям, включая Volt Typhoon.
В январе 2024 года отчет фирмы по кибербезопасности SecurityScorecard показал, что ботнет был ответственен за компрометацию 30% — или 325 из 1116 — устаревших маршрутизаторов Cisco RV320 / 325 за 37-дневный период с 1 декабря 2023 года по 7 января 2024 года.
"Volt Typhoon является по крайней мере одним пользователем KV-ботнета, и [...] этот ботнет охватывает подмножество их операционной инфраструктуры", - заявили в Lumen Black Lotus Labs, добавив, что ботнет "активен как минимум с февраля 2022 года".
Ботнет также предназначен для загрузки модуля виртуальной частной сети (VPN) на уязвимые маршрутизаторы и настройки прямого зашифрованного канала связи для управления ботнетом и использования его в качестве промежуточного ретрансляционного узла для достижения своих операционных целей.
"Одной из функций KV-ботнета является передача зашифрованного трафика между зараженными маршрутизаторами SOHO, что позволяет хакерам анонимизировать свои действия (т. Е. Хакеры, по-видимому, работают с маршрутизаторов SOHO, а не со своих реальных компьютеров в Китае)", - говорится в письменных показаниях под присягой, поданных Федеральным бюро расследований США (ФБР).
В рамках своих усилий по разрушению ботнета агентство заявило, что удаленно отдавало команды маршрутизаторам в США, используя протоколы связи вредоносного ПО, чтобы удалить полезную нагрузку KV-ботнета и предотвратить их повторное заражение. ФБР заявило, что также уведомило каждую жертву об операции либо напрямую, либо через их интернет-провайдера, если контактная информация была недоступна.
"Санкционированная судом операция удалила вредоносное ПО KV-botnet с маршрутизаторов и предприняла дополнительные шаги для разрыва их соединения с ботнетом, такие как блокирование связи с другими устройствами, используемыми для управления ботнетом", - добавило Министерство юстиции.
Здесь важно отметить, что неуказанные профилактические меры, используемые для удаления маршрутизаторов из ботнета, являются временными и не могут пережить перезагрузку. Другими словами, простой перезапуск устройств сделает их восприимчивыми к повторному заражению.
"Вредоносная программа Volt Typhoon позволила Китаю скрыть, среди прочего, предоперационную разведку и использование сети против критически важных объектов инфраструктуры, таких как наш сектор связи, энергетики, транспорта и водоснабжения - другими словами, шаги, которые Китай предпринимал, чтобы найти и подготовиться к уничтожению или деградации гражданской критически важной инфраструктуры, которая обеспечивает безопасность и процветание сша", – сказал директор ФБР Кристофер Рэй.
Однако китайское правительство в заявлении, которым поделилось агентство Рейтер, отрицало какую-либо причастность к атакам, назвав это "кампанией дезинформации" и заявив, что оно "категорически выступало против хакерских атак и злоупотребления информационными технологиями".
Одновременно с выводом из эксплуатации Агентство кибербезопасности и инфраструктуры США (CISA) опубликовало новое руководство, призывающее производителей устройств SOHO применять конструктивный подход к разработке и переложить бремя ответственности на заказчиков.
В частности, производителям рекомендуется устранить дефекты, которые могут быть использованы в веб-интерфейсах управления маршрутизаторами SOHO, и изменить конфигурации устройств по умолчанию для поддержки возможностей автоматического обновления и потребовать ручного переопределения для удаления настроек безопасности.
Компрометация периферийных устройств, таких как маршрутизаторы, для использования в продвинутых постоянных атаках, проводимых Россией и Китаем, подчеркивает растущую проблему, которая усугубляется тем фактом, что устаревшие устройства больше не получают исправлений безопасности и не поддерживают решения для обнаружения конечных точек и реагирования (EDR).
"Создание продуктов, в которых отсутствуют соответствующие средства контроля безопасности, неприемлемо, учитывая текущую среду угроз", - сказал CISA. "Этот случай иллюстрирует, как отсутствие методов обеспечения безопасности при проектировании может привести к реальному ущербу как для клиентов, так и, в данном случае, для критически важной инфраструктуры нашей страны".
