Após a derrubada do FBI, os operadores do KV-Botnet mudam de tática na tentativa de se recuperar
Os atores da ameaço por trás do Botnet KV fez “mudanças comportamentais” na rede maliciosa quando as autoridades dos EUA começaram a enunciar comandos para neutralizar a atividade.
KV-botnet é o nome oferecido a uma rede de roteadores e dispositivos de firewall comprometidos para pequenos escritórios e escritórios domésticos (SOHO) em todo o mundo, com um cluster específico atuando porquê um sistema secreto de transferência de dados para outros atores patrocinados pelo Estado chinês, incluindo o Volt Typhoon. (também publicado porquê Silhueta de Bronze, Taurus Insidioso ou Panda Vanguarda).
Ativo desde pelo menos fevereiro de 2022, foi documentado pela primeira vez pela equipe Black Lotus Labs da Lumen Technologies em meados de dezembro de 2023. O botnet é publicado por compreender dois subgrupos principais, viz. KV e JDY, sendo oriente último usado principalmente para varredura de alvos potenciais para reconhecimento.
No final do mês pretérito, o governo dos EUA anunciou um esforço de interrupção autorizado pelo tribunal para derrubar o cluster KV, que normalmente é reservado para operações manuais contra alvos de cima perfil escolhidos posteriormente uma varredura mais ampla através do subgrupo JDY.
Agora, de harmonia com novas descobertas da empresa de segurança cibernética, o cluster JDY ficou em silêncio durante tapume de quinze dias posteriormente a divulgação pública e porquê um subproduto do empreendimento do Federalista Bureau of Investigation (FBI) dos EUA.
“Em meados de dezembro de 2023, observamos esse cluster de atividades girando em torno de 1.500 bots ativos”, disse o pesquisador de segurança Ryan English. “Quando amostramos o tamanho deste cluster em meados de janeiro de 2024, seu tamanho diminuiu para aproximadamente 650 bots.”
Oferecido que as ações de remoção começaram com um mandado assinado emitido em 6 de dezembro de 2023, é justo presumir que o FBI começou a transmitir comandos para roteadores localizados nos EUA em qualquer momento ou posteriormente essa data para limpar a fardo útil do botnet e evitar que fossem reiniciados. -infetado.
“Observamos que os operadores da botnet KV começaram a se reorganizar, comprometendo oito horas consecutivas de atividade em 8 de dezembro de 2023, quase dez horas de operações no dia seguinte, em 9 de dezembro de 2023, seguidas por uma hora em 11 de dezembro de 2023”, Lumen disse em um relatório técnico compartilhado com The Hacker News.
Durante esse período de quatro dias, o agente da ameaço foi flagrado interagindo com 3.045 endereços IP exclusivos associados a NETGEAR ProSAFEs (2.158), Cisco RV 320/325 (310), câmeras IP Axis (29), roteadores DrayTek Vigor (17) e outros dispositivos não identificados (531).
Também foi observado no início de dezembro de 2023 um aumento maciço nas tentativas de exploração do servidor de fardo útil, indicando as prováveis tentativas do oponente de explorar novamente os dispositivos ao detectar que a sua infraestrutura estava offline. A Lumen disse que também tomou medidas para anular outro conjunto de servidores de backup que se tornou operacional na mesma idade.
É importante notar que os operadores do botnet KV são conhecidos por realizar seu próprio reconhecimento e direcionamento, ao mesmo tempo que apoiam vários grupos porquê o Volt Typhoon. Curiosamente, os carimbos de data/hora associados à exploração dos bots estão correlacionados com o horário de trabalho na China.
“Nossa telemetria indica que havia conexões administrativas nos servidores de fardo útil conhecidos de endereços IP associados à China Telecom”, disse Danny Adamitis, principal engenheiro de segurança da informação do Black Lotus Labs, ao The Hacker News.
Além do mais, a enunciação do Departamento de Justiça dos EUA descreveu a botnet porquê controlada por “hackers patrocinados pelo Estado da República Popular da China (RPC)”.
Isto levanta a possibilidade de que o botnet “foi criado por uma organização que apoia os hackers do Volt Typhoon; ao passo que se o botnet foi criado pelo Volt Typhoon, suspeitamos que eles teriam dito atores do ‘estado-nação’”, acrescentou Adamitis.
Também há sinais de que os atores da ameaço estabeleceram um terceiro cluster de botnet relacionado, mas insigne, denominado x.sh, já em janeiro de 2023, constituído por roteadores Cisco infectados, implantando um web shell chamado “fys.sh”, conforme engrandecido pelo SecurityScorecard pela última vez. mês.
Mas sendo o botnet KV somente “uma forma de infra-estrutura usada pelo Volt Typhoon para ofuscar a sua operosidade”, espera-se que a recente vaga de acções ligeiro os intervenientes patrocinados pelo Estado a presumivelmente fazerem a transição para outra rede secreta, a termo de cumprirem as suas metas estratégicas. metas.
“Uma percentagem significativa de todos os equipamentos de rede em uso em todo o mundo está a funcionar perfeitamente muito, mas já não é suportada”, disse English. “Os usuários finais têm uma escolha financeira difícil quando um dispositivo chega a esse ponto, e muitos nem sequer sabem que um roteador ou firewall está no termo de sua vida útil.
“Os agentes de ameaças avançados estão muito cientes de que isto representa um terreno fértil para exploração. Substituir dispositivos não suportados é sempre a melhor escolha, mas nem sempre viável”.
“A mitigação envolve os defensores adicionando seus dispositivos de borda à longa lista daqueles que eles já precisam emendar e atualizar sempre que provável, reiniciando dispositivos e configurando soluções EDR ou SASE quando aplicável, e mantendo um olho nas grandes transferências de dados fora da rede. A delimitação geográfica não é uma resguardo na qual se possa encarregar, quando o agente da ameaço pode saltar de um ponto próximo.”
