Botnet de roteador vinculado a violações críticas

21/12/2023 mindsecblog Notícias 3

Botnet de roteador vinculado a violações críticas de infraestrutura do Volt Typhoon. Verifique seus roteadores: Centenas de dispositivos de pequenas empresas e escritórios domésticos sequestrados em botnets direcionados a infraestruturas críticas.

O grupo de ameaças chinês Volt Typhoon usou uma botnet sofisticada de roteadores domésticos e de pequenas empresas inseguros para transferir dados furtivamente durante uma grande campanha visando a infraestrutura crítica dos EUA descoberta no início deste ano.

As ações do grupo despertaram o alarme na comunidade de inteligência quando foram relatadas pela primeira vez em maio, devido à amplitude e ao impacto potencial dos seus ataques. Organizações de vários setores, incluindo governo, defesa, comunicações, TI e serviços públicos, foram visadas.

Uma vítima foi uma organização de infraestrutura crítica no território norte-americano de Guam. Havia temores de que a violação pudesse ser um precursor de um ataque destinado a perturbar as capacidades militares dos EUA no vizinho Mar do Sul da China.

KV-botnet composto por roteadores em fim de vida

Em uma postagem de 13 de dezembro , a Lumen Technologies disse que após a descoberta dos ataques, sua divisão Black Lotus Labs descobriu que o Volt Typhoon – e possivelmente outros atores de ameaças persistentes avançadas (APT) – havia usado um botnet como rede de transferência de dados como parte de seu operações.

Apelidada de KV-botnet, era uma rede de roteadores SOHO (pequenos escritórios/escritórios domésticos) infectados principalmente em fim de vida, fabricados pela Cisco, DrayTek e Netgear.

“O botnet KV apresenta dois clusters lógicos distintos, um processo de infecção complexo e uma estrutura de comando e controle (C2) bem escondida”, disseram os pesquisadores. “Os operadores desta botnet implementam meticulosamente técnicas comerciais e de ofuscação.”

Havia várias vantagens em construir uma botnet a partir de roteadores SOHO mais antigos, disseram eles, incluindo o grande número disponível, a falta de medidas de segurança e patches aos quais foram submetidos e a significativa largura de banda de dados que podiam manipular sem levantar suspeitas.

“Além disso, como esses modelos estão associados a usuários domésticos e de pequenas empresas, é provável que muitos alvos não tenham recursos e experiência para monitorar ou detectar atividades maliciosas e realizar análises forenses.”

Em uma declaração separada , Lumen disse que o KV-botnet permitiu que o Volt Typhoon mantivesse canais de comunicação secretos que se fundiam com o tráfego normal da rede, evitando barreiras de segurança e firewalls.

“Essa botnet foi essencial para suas operações estratégicas de coleta de inteligência, ajudando-os a atingir seus objetivos de longo prazo. A campanha teve como alvo dispositivos fora do alcance das equipes tradicionais de detecção de segurança, [adicionando] uma camada intencional de ofuscação para operações secretas.”

Lumen disse que o Black Lotus Labs interrompeu o botnet depois de rastrear seus servidores C2 e rotear nulo, ou descartar, os endereços IP maliciosos que bloquearam o acesso aos dispositivos comprometidos e impediram que fossem usados em novos ataques.

“O bloqueio da infraestrutura do agente da ameaça em toda a rede da Lumen interrompe a capacidade de operação da botnet e ajuda a combater ameaças perigosas e altamente qualificadas de estados-nação, como o Volt Typhoon”, disse Mark Dehus, diretor sênior de inteligência de ameaças do Black Lotus Labs.

Mas os pesquisadores alertaram que a natureza da botnet tornava difícil destruí-la completamente.

“Como esta campanha tem como alvo dispositivos SOHO, seria difícil erradicar todos os dispositivos infectados de uma só vez para eliminar o botnet. Como o malware reside completamente na memória, simplesmente desligando e ligando o dispositivo o usuário final pode interromper a infecção. Embora isso elimine a ameaça iminente, a reinfecção está ocorrendo regularmente.”

Lumen disse que para ajudar a mitigar o impacto de ameaças como o KV-botnet, as empresas devem estar atentas a quantidades substanciais de dados que saem de suas redes. Os usuários domésticos devem reiniciar regularmente seus roteadores e instalar as atualizações e patches de segurança mais recentes.