De Amerikaanse regering zei woensdag dat zij stappen heeft ondernomen om een botnet te neutraliseren dat bestaat uit honderden in de VS gevestigde routers voor kleine kantoren en thuiskantoren (SOHO), gekaapt door een aan China gelieerde, door de staat gesponsorde dreigingsacteur genaamd Volt Typhoon, en om de impact van het hacken af te zwakken. campagne.
Het bestaan van het botnet, nagesynchroniseerd KV-botnetwerd medio december 2023 voor het eerst onthuld door het Black Lotus Labs-team van Lumen Technologies. De wetshandhavingsinspanningen werden eerder deze week door Reuters gerapporteerd.
“De overgrote meerderheid van de routers waaruit het KV-botnet bestond, waren Cisco- en NetGear-routers die kwetsbaar waren omdat ze de ‘end-of-life’-status hadden bereikt; dat wil zeggen dat ze niet langer werden ondersteund door de beveiligingspatches van hun fabrikant of andere software-updates,” Dat meldt het ministerie van Justitie (DoJ) in een persverklaring.
Volt Typhoon (ook bekend als DEV-0391, Bronze Silhouette of Vanguard Panda) is de bijnaam die is toegewezen aan een in China gevestigd vijandig collectief dat wordt toegeschreven aan cyberaanvallen gericht op kritieke infrastructuursectoren in de VS en Guam.
“Chinese cyberactoren, waaronder een groep die bekend staat als ‘Volt Typhoon’, graven diep in onze kritieke infrastructuur om klaar te zijn om destructieve cyberaanvallen te lanceren in het geval van een grote crisis of conflict met de Verenigde Staten”, aldus CISA-directeur Jen Easterly. .
De cyberspionagegroep, die vermoedelijk sinds 2021 actief is, staat bekend om haar afhankelijkheid van legitieme tools en ‘living-off-the-land’ (LotL)-technieken om onder de radar te blijven en gedurende langere tijd in de slachtofferomgeving te blijven om gevoelige informatie te verzamelen. informatie.
Een ander belangrijk aspect van zijn modus operandi is dat het probeert op te gaan in de normale netwerkactiviteit door verkeer via gecompromitteerde SOHO-netwerkapparatuur te leiden, waaronder routers, firewalls en VPN-hardware, in een poging de oorsprong ervan te verdoezelen.
Dit wordt bereikt door middel van het KV-botnet, dat apparaten van Cisco, DrayTek, Fortinet en NETGEAR beheert voor gebruik als een geheim gegevensoverdrachtnetwerk voor geavanceerde persistente bedreigingsactoren. Het vermoeden bestaat dat de botnetoperators hun diensten aanbieden aan andere hackers, waaronder Volt Typhoon.
In januari 2024 onthulde een rapport van SecurityScorecard deze maand hoe het botnet verantwoordelijk is geweest voor het compromitteren van maar liefst 30% (of 325 van de 1.116) van de Cisco RV320/325-routers die aan het einde van hun levensduur zijn gedurende een periode van 37 dagen vanaf 1 december. 2023, tot 7 januari 2024.
“Volt Typhoon is minstens één gebruiker van het KV-botnet en […] Dit botnet omvat een subset van hun operationele infrastructuur”, aldus Lumen Black Lotus Labs, eraan toevoegend dat het botnet “in ieder geval sinds februari 2022 actief is.”
Het botnet is ook ontworpen om een Virtual Private Network (VPN)-module naar de kwetsbare routers te downloaden en een direct gecodeerd communicatiekanaal op te zetten om het botnet te controleren en te gebruiken als een tussenliggend relaisknooppunt om hun operationele doelen te bereiken.
“Eén functie van het KV-botnet is het verzenden van gecodeerd verkeer tussen de geïnfecteerde SOHO-routers, waardoor de hackers hun activiteiten kunnen anonimiseren (dat wil zeggen dat de hackers lijken te opereren vanaf de SOHO-routers, in plaats van vanaf hun werkelijke computers in China)”, aldus op beëdigde verklaringen ingediend door het Amerikaanse Federal Bureau of Investigation (FBI).
Als onderdeel van zijn inspanningen om het botnet te ontwrichten, zei het agentschap dat het op afstand opdrachten heeft gegeven om routers in de VS te targeten met behulp van de communicatieprotocollen van de malware om de lading van het KV-botnet te verwijderen en te voorkomen dat deze opnieuw wordt geïnfecteerd. De FBI zei dat het ook elk slachtoffer op de hoogte bracht van de operatie, hetzij rechtstreeks, hetzij via hun internetprovider als er geen contactgegevens beschikbaar waren.
“De door de rechtbank goedgekeurde operatie verwijderde de KV-botnet-malware van de routers en ondernam aanvullende stappen om hun verbinding met het botnet te verbreken, zoals het blokkeren van de communicatie met andere apparaten die worden gebruikt om het botnet te controleren”, voegde het DoJ eraan toe.
Het is belangrijk om erop te wijzen dat de niet-gespecificeerde preventiemaatregelen die worden gebruikt om de routers van het botnet te verwijderen tijdelijk zijn en een herstart niet kunnen overleven. Met andere woorden: het simpelweg herstarten van de apparaten zou ze vatbaar maken voor herinfectie.
“De Volt Typhoon-malware stelde China in staat om onder andere pre-operationele verkenningen en netwerkexploitatie tegen kritieke infrastructuur zoals onze communicatie-, energie-, transport- en watersectoren te verbergen – stappen die China ondernam, met andere woorden, om deze te vinden en zich voor te bereiden vernietig of degradeer de civiele kritieke infrastructuur die ons veilig en welvarend houdt”, zei FBI-directeur Christopher Wray.
De Chinese regering ontkende echter in een verklaring gedeeld met Reuters elke betrokkenheid bij de aanslagen en deed het af als een ‘desinformatiecampagne’ en dat zij ‘categorisch was in het bestrijden van hackaanvallen en het misbruik van informatietechnologie’.
Gelijktijdig met de verwijdering publiceerde de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) nieuwe richtlijnen waarin fabrikanten van SOHO-apparaten worden opgeroepen om tijdens de ontwikkeling een ‘secure by design’-aanpak te omarmen en de lasten van de klanten af te schuiven.
Concreet wordt aanbevolen dat fabrikanten exploiteerbare defecten in de webbeheerinterfaces van SOHO-routers elimineren en de standaardapparaatconfiguraties aanpassen om automatische updatemogelijkheden te ondersteunen en een handmatige overschrijving vereisen om beveiligingsinstellingen te verwijderen.
Het compromitteren van edge-apparaten zoals routers voor gebruik bij geavanceerde aanhoudende aanvallen door Rusland en China benadrukt een groeiend probleem dat nog wordt verergerd door het feit dat oudere apparaten niet langer beveiligingspatches ontvangen en geen endpoint-detectie- en responsoplossingen (EDR) ondersteunen.
“Het creëren van producten die niet over de juiste beveiligingscontroles beschikken, is onaanvaardbaar gezien de huidige dreigingsomgeving”, aldus CISA. “Deze zaak illustreert hoe een gebrek aan veilige ontwerppraktijken kan leiden tot echte schade aan zowel klanten als, in dit geval, de kritieke infrastructuur van ons land.”
