FBI interrompe botnet chinês ao limpar malware de roteadores infectados

O grupo de hackers (também conhecido como Bronze Silhouette) usou-o para sequestrar centenas de pequenos escritórios/escritórios domésticos (SOHO) nos Estados Unidos e os usou para garantir que suas atividades maliciosas se misturassem ao tráfego de rede legítimo para evitar a detecção.

Os dispositivos comprometidos e adicionados a esta botnet incluíam roteadores Netgear ProSAFE, Cisco RV320s e DrayTek Vigor, bem como câmeras IP Axis, de acordo com a equipe Black Lotus Labs da Lumen Technologies, que primeiro vinculou o malware ao grupo de ameaças chinês em dezembro.

Um relatório do SecurityScorecard do início deste mês estima que os hackers do Volt Typhoon conseguiram sequestrar cerca de 30% de todos os dispositivos Cisco RV320/325 online em pouco mais de um mês. 

“O malware Volt Typhoon permitiu à China ocultar, entre outras coisas, o reconhecimento pré-operacional e a exploração de redes contra infra-estruturas críticas como os nossos sectores de comunicações, energia, transportes e água – medidas que a China estava a tomar, por outras palavras, para encontrar e preparar-se para destruir ou degradar a infraestrutura civil crítica que nos mantém seguros e prósperos”, disse o diretor do FBI, Christopher Wray.

“Portanto, trabalhando com nossos parceiros, o FBI executou uma operação na rede autorizada pelo tribunal para encerrar o Volt Typhoon e o acesso que ele permitiu.”

A operação do FBI começou em 6 de dezembro, quando a agência de aplicação da lei obteve pela primeira vez uma ordem judicial autorizando-a a derrubar a botnet após invadir seu servidor de comando e controle (C2).

Uma vez lá dentro, os agentes do FBI enviaram comandos aos dispositivos comprometidos para isolá-los da botnet e evitar que os hackers chineses os reconectassem à rede maliciosa.

Eles também emitiram um comando que forçou o malware a desinstalar seu componente VPN botnet e impedir que os hackers usassem os dispositivos para realizar novos ataques através deles.

“A grande maioria dos roteadores que compunham o KV Botnet eram roteadores Cisco e NetGear vulneráveis ​​porque haviam atingido o status de ‘fim de vida’; ou seja, eles não eram mais suportados pelos patches de segurança do fabricante ou outras atualizações de software”, um “O comunicado de imprensa do Departamento de Justiça explica ” .

“A operação autorizada pelo tribunal excluiu o malware KV Botnet dos roteadores e tomou medidas adicionais para cortar sua conexão com o botnet, como bloquear comunicações com outros dispositivos usados ​​para controlar o botnet.”

Fornecedores são incentivados a proteger roteadores SOHO

Hoje, a CISA e o FBI também emitiram orientações para os fabricantes de roteadores SOHO, instando-os a garantir que estejam protegidos contra os ataques contínuos do Volt Typhoon .

As recomendações incluem automatizar atualizações de segurança e permitir o acesso às suas interfaces de gerenciamento web apenas a partir da LAN por padrão, bem como remover falhas de segurança durante as fases de design e desenvolvimento.

Um relatório da Microsoft de maio de 2023 revelou que os hackers do Volt Typhoon têm visado e violado organizações de infraestrutura crítica dos EUA desde pelo menos meados de 2021.

A rede secreta de transferência de dados KV-botnet do grupo de hackers foi usada em ataques direcionados a uma ampla gama de organizações desde pelo menos agosto de 2022, incluindo organizações militares dos EUA, provedores de serviços de telecomunicações e Internet, e uma empresa europeia de energia renovável.

A Reuters relatou pela primeira vez a operação de interrupção do KV Botnet do governo dos EUA na segunda-feira.