Поделиться
Кибершпионская группировка Volt Typhoon восстанавливает свой ботнет
Разгромленный прошлой зимой KV-Botnet постепенно восстанавливается за счет устаревших роутеров и уязвимых файерволлов.
Старые раны
Группировка Volt Typhoon пытается восстановить свой ботнет, функционирование которого было нарушено ФБР в январе этого года. Как утверждают исследователи компании SecurityScorecard, операторы ботнета KV-Botnet запустили серийную компрометацию роутеров Netgear и Cisco, в основном располагающихся в Азии.
Основной методикой атак Volt Typhoon является взлом роутеров для домашнего использования и малого бизнеса, и других сетевых устройств, например, файерволлов Netgear ProSAFE, роутеров Cisco RV320, DrayTek Vigor и IP-камер Axis.
На скомпрометированные устройства загружается вредоносное ПО, которое устанавливает скрытый канал связи с серверами операторов Volt Typhoon, открывая им постоянный доступ в целевые сети.
Основной деятельностью Volt Typhoon является шпионаж. В США считают, что данная APT-группировка проникла в сети критической инфраструктуры США и других стран, причем проникновение началось не менее пяти лет назад.
В январе власти США провели операцию, в результате которой со значительного количества скомпрометированных устройств были удалены вредоносы Volt Typhoon. В феврале группировка предприняла первые попытки восстановить ботнет, но они пропали даром.
Однако уже в августе появились сведения о том, что операторы Volt Typhoon начали эксплуатировать новую уязвимость нулевого дня, что означало повторную активизацию этой APT-группы.
В исследовании SecurityScorecard указывается, что Volt Typhoon атакует устаревшие модели роутеров Cisco и Netgear. При этом используется вредоносное ПО на базе MIPS и веб-шеллы, которые устанавливают соединения с нестандартными портами, что затрудняет обнаружение.
Всего за месяц
Всего за 37 дней операторы Volt Typhoon смогли взломать порядка 30% всех роутеров Cisco RV320/325, доступных в интернете. Какую именно уязвимость (или уязвимости) операторы Volt Typhoon используют, остается невыясненным. В любом случае, эти устройства сняты и с продажи, и с поддержки, обновления для них не выпускаются, а значит, устройства останутся уязвимыми.
Что характерно, некоторые из устройств, которые входили в ботнет до атаки со стороны ФБР, теперь снова являются его частью.
Трафик ботнета, связанный с вредоносной активностью, пропускается через скомпрометированную легитимную инфраструктуру, чтобы затруднить его обнаружение. Командные серверы зарегистрированы у таких хостинг-провайдеров как Digital Ocean, Quadranet и Vultr.
Кроме того, как указывают исследователи, Volt Typhoon использует скомпрометированное VPN-устройство, физически расположенное на тихоокеанском острове Новая Каледония (особое административно-территориальное образование, принадлежащее Франции), которое используется в качестве соединительного моста между Азиатско-Тихоокеанским регионом и Северной Америкой. Вероятнее всего, выбор не случаен и продиктован как раз-таки территориальным расположением и политической принадлежностью острова.
Хотя новый ботнет Volt Typhoon пока не может сравниться с прежним, разгромленным, очевидно, что APT-группа вернулась к проведению своих операций и будет дальше наращивать мощности.
«Есть лишь единственный рабочий способ гарантированно защититься от таких атак, хотя бы на время: сменить устаревшие устройства», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Официальный «жизненный цикл» роутеров и других компонентов «интернета вещей» обычно намного короче, чем срок их эксплуатации. Вендор перестает выпускать обновления, и как минимум с этого момента такой роутер становится готовой точкой входа для кибератак, от кого бы они ни исходили».
Эксперт добавила, что роутеры всегда должны находиться за файерволлом, а доступ к административной консоли должен быть максимально ограничен.
Поделиться
Короткая ссылка
