Botnet de roteador vinculado a violações críticas de infraestrutura do Volt Typhoon. Verifique seus roteadores: Centenas de dispositivos de pequenas empresas e escritórios domésticos sequestrados em botnets direcionados a infraestruturas críticas.
O grupo de ameaças chinês Volt Typhoon usou uma botnet sofisticada de roteadores domésticos e de pequenas empresas inseguros para transferir dados furtivamente durante uma grande campanha visando a infraestrutura crítica dos EUA descoberta no início deste ano.
As ações do grupo despertaram o alarme na comunidade de inteligência quando foram relatadas pela primeira vez em maio, devido à amplitude e ao impacto potencial dos seus ataques. Organizações de vários setores, incluindo governo, defesa, comunicações, TI e serviços públicos, foram visadas.
Uma vítima foi uma organização de infraestrutura crítica no território norte-americano de Guam. Havia temores de que a violação pudesse ser um precursor de um ataque destinado a perturbar as capacidades militares dos EUA no vizinho Mar do Sul da China.
KV-botnet composto por roteadores em fim de vida
Em uma postagem de 13 de dezembro , a Lumen Technologies disse que após a descoberta dos ataques, sua divisão Black Lotus Labs descobriu que o Volt Typhoon – e possivelmente outros atores de ameaças persistentes avançadas (APT) – havia usado um botnet como rede de transferência de dados como parte de seu operações.
Apelidada de KV-botnet, era uma rede de roteadores SOHO (pequenos escritórios/escritórios domésticos) infectados principalmente em fim de vida, fabricados pela Cisco, DrayTek e Netgear.
“O botnet KV apresenta dois clusters lógicos distintos, um processo de infecção complexo e uma estrutura de comando e controle (C2) bem escondida”, disseram os pesquisadores. “Os operadores desta botnet implementam meticulosamente técnicas comerciais e de ofuscação.”
Havia várias vantagens em construir uma botnet a partir de roteadores SOHO mais antigos, disseram eles, incluindo o grande número disponível, a falta de medidas de segurança e patches aos quais foram submetidos e a significativa largura de banda de dados que podiam manipular sem levantar suspeitas.
“Além disso, como esses modelos estão associados a usuários domésticos e de pequenas empresas, é provável que muitos alvos não tenham recursos e experiência para monitorar ou detectar atividades maliciosas e realizar análises forenses.”
Em uma declaração separada , Lumen disse que o KV-botnet permitiu que o Volt Typhoon mantivesse canais de comunicação secretos que se fundiam com o tráfego normal da rede, evitando barreiras de segurança e firewalls.
“Essa botnet foi essencial para suas operações estratégicas de coleta de inteligência, ajudando-os a atingir seus objetivos de longo prazo. A campanha teve como alvo dispositivos fora do alcance das equipes tradicionais de detecção de segurança, [adicionando] uma camada intencional de ofuscação para operações secretas.”
Lumen disse que o Black Lotus Labs interrompeu o botnet depois de rastrear seus servidores C2 e rotear nulo, ou descartar, os endereços IP maliciosos que bloquearam o acesso aos dispositivos comprometidos e impediram que fossem usados em novos ataques.
“O bloqueio da infraestrutura do agente da ameaça em toda a rede da Lumen interrompe a capacidade de operação da botnet e ajuda a combater ameaças perigosas e altamente qualificadas de estados-nação, como o Volt Typhoon”, disse Mark Dehus, diretor sênior de inteligência de ameaças do Black Lotus Labs.
Mas os pesquisadores alertaram que a natureza da botnet tornava difícil destruí-la completamente.
“Como esta campanha tem como alvo dispositivos SOHO, seria difícil erradicar todos os dispositivos infectados de uma só vez para eliminar o botnet. Como o malware reside completamente na memória, simplesmente desligando e ligando o dispositivo o usuário final pode interromper a infecção. Embora isso elimine a ameaça iminente, a reinfecção está ocorrendo regularmente.”
Lumen disse que para ajudar a mitigar o impacto de ameaças como o KV-botnet, as empresas devem estar atentas a quantidades substanciais de dados que saem de suas redes. Os usuários domésticos devem reiniciar regularmente seus roteadores e instalar as atualizações e patches de segurança mais recentes.
Fonte: SC Magazine por Simon Hendery
Veja também:
- CISA pede que os fabricantes eliminem senhas padrão
- 10 dicas para proteger seus dados de forma eficaz
- Vulnerabilidades recentes em sistemas VMware e Microsoft
- Carregador de malware lidera ranking do Brasil com impacto de 9% às organizações
- Crescem os ataques às APIs e as organizações necessitam aumentar a cibersegurança
- Retrospectiva LGPD. Penalidades Aplicadas em 2023
- Marco Legal da IA e LGPD: novos desafios na privacidade e enriquecimento de dados
- O papel da segurança cibernética no processo de inovação das empresas
- De 2024 a 2030: o futuro do combate à fraude no Brasil
- Hackers exploram o AWS STS para se infiltrar em contas na nuvem
- O que esperar da cibersegurança em 2024?
- O diferencial dos profissionais de tecnologia no combate às ameaças cibernéticas
Deixe sua opinião!