De dreigingsactoren achter de KV-botnet voerde “gedragsveranderingen” door in het kwaadaardige netwerk toen de Amerikaanse wetshandhavingsinstanties bevelen begonnen uit te vaardigen om de activiteit te neutraliseren.
KV-botnet is de naam die wordt gegeven aan een netwerk van gecompromitteerde routers en firewalls voor kleine kantoren en thuiskantoren over de hele wereld, waarbij één specifiek cluster fungeert als een geheim gegevensoverdrachtsysteem voor andere door de Chinese staat gesponsorde actoren, waaronder Volt Typhoon. (ook bekend als Bronze Silhouette, Insidious Taurus of Vanguard Panda).
Het is in ieder geval actief sinds februari 2022 en werd medio december 2023 voor het eerst gedocumenteerd door het Black Lotus Labs-team van Lumen Technologies. Het is bekend dat het botnet uit twee belangrijke subgroepen bestaat, namelijk. KV en JDY, waarbij de laatste voornamelijk wordt gebruikt voor het scannen van potentiële doelen voor verkenning.
Eind vorige maand kondigde de Amerikaanse regering een door de rechtbank geautoriseerde ontwrichtingspoging aan om het KV-cluster neer te halen, dat doorgaans gereserveerd is voor handmatige operaties tegen spraakmakende doelen die zijn gekozen na een bredere scan via de JDY-subgroep.
Volgens nieuwe bevindingen van het cyberbeveiligingsbedrijf viel het JDY-cluster ongeveer vijftien dagen stil na de openbaarmaking en als bijproduct van de onderneming van het Amerikaanse Federal Bureau of Investigation (FBI).
“Half december 2023 zagen we dat dit activiteitencluster rond de 1500 actieve bots schommelde”, zegt beveiligingsonderzoeker Ryan English. “Toen we medio januari 2024 de omvang van dit cluster bemonsterden, nam de omvang ervan af tot ongeveer 650 bots.”
Gezien het feit dat de verwijderingsacties begonnen met een ondertekend bevel uitgevaardigd op 6 december 2023, is het redelijk om aan te nemen dat de FBI ergens op of na die datum commando’s begon te verzenden naar routers in de VS om de lading van het botnet te wissen en te voorkomen dat deze opnieuw werden verzonden. -besmet.
“We zagen dat de KV-botnetoperatoren begonnen te herstructureren, waarbij ze op 8 december 2023 acht uur achter elkaar actief waren, de volgende dag op 9 december 2023 bijna tien uur, gevolgd door één uur op 11 december 2023”, zegt Lumen. zei in een technisch rapport gedeeld met The Hacker News.
Tijdens deze periode van vier dagen werd de bedreigingsacteur opgemerkt in interactie met 3.045 unieke IP-adressen die waren gekoppeld aan NETGEAR ProSAFE’s (2.158), Cisco RV 320/325 (310), Axis IP-camera’s (29), DrayTek Vigor-routers (17) en andere niet-geïdentificeerde apparaten (531).
Begin december 2023 werd ook een enorme piek waargenomen in het aantal exploitatiepogingen van de payload-server, wat erop wijst dat de tegenstander waarschijnlijk probeert de apparaten opnieuw te exploiteren toen ze merkten dat hun infrastructuur offline ging. Lumen zei dat het ook stappen heeft ondernomen om een andere set back-upservers die rond dezelfde tijd operationeel werden op nul te zetten.
Het is vermeldenswaard dat de exploitanten van het KV-botnet bekend staan om hun eigen verkenningen en targeting, terwijl ze ook meerdere groepen zoals Volt Typhoon ondersteunen. Interessant is dat de tijdstempels die verband houden met de exploitatie van de bots correleren met de werktijden in China.
“Onze telemetrie geeft aan dat er administratieve verbindingen waren met de bekende payload-servers vanaf IP-adressen die verband houden met China Telecom”, vertelde Danny Adamitis, hoofdinformatiebeveiligingsingenieur bij Black Lotus Labs, aan The Hacker News.
Bovendien wordt in de verklaring van het Amerikaanse ministerie van Justitie beschreven dat het botnet wordt gecontroleerd door “door de staat gesponsorde hackers van de Volksrepubliek China”.
Dit vergroot de mogelijkheid dat het botnet “is gemaakt door een organisatie die de Volt Typhoon-hackers ondersteunt; terwijl als het botnet door Volt Typhoon was gemaakt, we vermoeden dat ze ‘natiestaatactoren’ zouden hebben genoemd”, voegde Adamitis eraan toe.
Er zijn ook tekenen dat de dreigingsactoren al in januari 2023 een derde verwante maar onderscheidende botnetcluster hebben opgezet, genaamd x.sh, dat is samengesteld uit geïnfecteerde Cisco-routers door een webshell met de naam ‘fys.sh’ in te zetten, zoals benadrukt door SecurityScorecard vorig jaar. maand.
Maar aangezien het KV-botnet slechts “één vorm van infrastructuur is die door Volt Typhoon wordt gebruikt om hun activiteiten te verdoezelen”, wordt verwacht dat de recente golf van acties de door de staat gesponsorde actoren ertoe zal aanzetten vermoedelijk over te stappen naar een ander geheim netwerk om aan hun strategische doelstellingen te voldoen. doelen.
“Een aanzienlijk percentage van alle netwerkapparatuur die over de hele wereld wordt gebruikt, functioneert prima, maar wordt niet langer ondersteund”, aldus English. “Eindgebruikers staan voor een moeilijke financiële keuze wanneer een apparaat dat punt bereikt, en velen zijn zich er niet eens van bewust dat een router of firewall het einde van zijn ondersteunde levensduur heeft bereikt.
“Geavanceerde dreigingsactoren zijn zich er terdege van bewust dat dit een vruchtbare bodem voor exploitatie vormt. Het vervangen van niet-ondersteunde apparaten is altijd de beste keuze, maar niet altijd haalbaar.”
“Mitigatie houdt in dat verdedigers hun edge-apparaten toevoegen aan de lange lijst van apparaten die ze al zo vaak als beschikbaar moeten patchen en updaten, apparaten opnieuw opstarten en EDR- of SASE-oplossingen configureren waar van toepassing, en grote gegevensoverdrachten vanuit het netwerk in de gaten houden. Geofencing is geen verdediging waarop je kunt vertrouwen, wanneer de dreigingsactor van een nabijgelegen punt kan springen.”
