Представители ФБР заявили, что им удалось ликвидировать ботнет KV, используемый хакерами из китайской группировки Volt Typhoon (она же Bronze Silhouette, DEV-0391, Insidious Taurus и Vanguard Panda) для уклонения от обнаружения во время атак, которые нацелены на критическую инфраструктуру США.

Сообщается, что Volt Typhoon применяла малварь KV (она же KV-botnet) для взлома и захвата сотен SOHO-роутеров по всей территории США и использовала их, чтобы смешать свою вредоносную деятельность с обычным сетевым трафиком, в итоге скрываясь от обнаружения.

Среди взломанных и добавленных в ботнет устройств были маршрутизаторы Netgear ProSAFE, Cisco RV320s и DrayTek Vigor, а также IP-камеры Axis, как сообщали ранее исследователи Black Lotus Labs, которые в декабре прошлого года впервые связали эту малварь с китайской хак-группой.

Также стоит отметить, что согласно отчету SecurityScorecard, опубликованному в начале этого месяца, Volt Typhoon смогла захватить около 30% всех устройств Cisco RV320/325, доступных в сети, и для этого хакерам понадобилось всего около месяца.

Ранее специалисты Microsoft писали, что за последние годы группировка закрепилась в критически важных инфраструктурных средах на всей территории США и Гуама (остров, имеющий статус неинкорпорированной организованной территории США, на котором размещено несколько военных баз), похищая учетные данные, конфиденциальную информацию и оставаясь практически незамеченной.

Упомянутая операция ФБР началась 6 декабря 2023 года, когда правоохранительные органы получили судебный ордер, разрешающий уничтожить ботнет после взлома его управляющих серверов.

Специалисты отправили команды на взломанные устройства, чтобы отключить их от ботнета и не дать китайским хакерам скомпрометировать их снова. Другая команда вынудила вредоносное ПО удалить с устройств VPN-компонент ботнета и заблокировала хакерам возможность использовать роутеры для проведения дальнейших атак.

При этом отмечается, что все профилактические меры перестанут действовать, если маршрутизаторы будут перезапущены. То есть после перезагрузки устройства снова станут уязвимы для атак.

Также на этой неделе CISA и ФБР выпустили руководство для производителей SOHO-маршрутизаторов, призвав их обеспечить защиту от продолжающихся атак группировки Volt Typhoon. Эти рекомендации включают автоматизацию обновлений безопасности, предоставление доступа к веб-интерфейсам управления только через LAN, а также устранение уязвимостей на этапах проектирования и разработки устройств.

Теги: Новости, botnet, Malware