Οι Κινέζοι hackers Volt Typhoon ανακατασκευάζουν το malware botnet “KV-Botnet”, η λειτουργία του οποίου διακόπηκε από τις αρχές επιβολής του νόμου τον Ιανουάριο.
Η Volt Typhoon είναι μια κινεζική κρατική ομάδα κυβερνοκατασκοπείας, που πιστεύεται ότι έχει διεισδύσει σε κρίσιμες υποδομές των ΗΠΑ. Η κύρια στρατηγική της περιλαμβάνει την παραβίαση SOHO routers και συσκευών δικτύωσης (π.χ. Netgear ProSAFE firewalls, Cisco RV320s, DrayTek Vigor routers και Axis IP cameras) για την εγκατάσταση custom malware που δημιουργεί κρυφά κανάλια επικοινωνίας και διατηρεί σταθερή πρόσβαση σε στοχευμένα δίκτυα.
Τον Ιανουάριο του 2024, οι αρχές των ΗΠΑ ανακοίνωσαν τη διακοπή του botnet KV-Botnet των Κινέζων hackers Volt Typhoon, αφαιρώντας το malware από μολυσμένους routers.
Δείτε επίσης: Androxgh0st Botnet: Ενσωματώνει payloads του Mozi για στόχευση IoT συσκευών
Ανακάλυψη Αρχαίου Αιγυπτιακού Ναού σε Γκρεμό
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Οι hakers προσπάθησαν αμέσως να το επαναφέρουν, αλλά δεν τα κατάφεραν. Ωστόσο, φαίνεται ότι η ομάδα προσπαθεί ακόμα. Σύμφωνα με μια αναφορά της SecurityScorecard, η Volt Typhoon άρχισε να αναδομεί το botnet της στοχεύοντας τους μη ενημερωμένους Cisco και Netgear routers. Μάλιστα, φαίνεται να έχει μολύνει έναν σημαντικό αριθμό συσκευών σε λίγο περισσότερο από ένα μήνα.
Αυτοί οι routers παραβιάζονται μέσω MIPS-based malware και webshells που επικοινωνούν μέσω non-standard ports, καθιστώντας τον εντοπισμό πιο δύσκολο.
Οι Κινέζοι hackers Volt Typhoon επιστρέφουν με το KV-Botnet
Η SecurityScorecard αναφέρει ότι, από τον Σεπτέμβριο, η Volt Typhoon επέστρεψε μέσω ενός νέου δικτύου παραβιασμένων συσκευών που βρίσκονται κυρίως στην Ασία. Το KV-Botnet, που ονομάστηκε επίσης «JDYFJ Botnet» από την SecurityScorecard, επιχειρεί κυρίως να θέσει σε κίνδυνο τις συσκευές της σειράς Cisco RV320/325 και Netgear ProSafe.
Οι ερευνητές λένε ότι, σε μόλις 37 ημέρες, οι hackers Volt Typhoon έχουν θέσει σε κίνδυνο το 30% περίπου όλων των συσκευών Cisco RV320/325 που εκτίθενται στο διαδίκτυο.
Δείτε επίσης: Κινέζοι hackers χρησιμοποιούν το Quad7 botnet για να κλέψουν credentials
“Δεν ξέρουμε συγκεκριμένα ποια αδυναμία ή ελάττωμα γίνεται αντικείμενο εκμετάλλευσης. Ωστόσο, καθώς οι συσκευές έχουν φτάσει στο τέλος της ζωής τους, δεν παρέχονται πλέον ενημερώσεις“, είπαν οι ερευνητές στο BleepingComputer.
Επίσης, οι ερευνητές είπαν ότι δεν έχουν εικόνα για το ποιο κακόβουλο λογισμικό χρησιμοποιείται στο ανανεωμένο botnet. Πάντως, παρατήρησαν ότι ορισμένες από τις συσκευές που είχαν μολυνθεί πριν από την καταστολή, εντάχθηκαν ξανά στο botnet.
Η κύρια λειτουργία του KV-Botnet φαίνεται να συγκαλύπτει κακόβουλες δραστηριότητες δρομολογώντας το traffic μέσω της παραβιασμένης νόμιμης υποδομής.
Οι διακομιστές εντολών του botnet είναι εγγεγραμμένοι στα Digital Ocean, Quadranet και Vultr, για να επιτευχθεί ένα πιο διαφοροποιημένο και ανθεκτικό δίκτυο.
Προστασία από botnet
Για την προστασία από αυτήν την απειλή, οι παλιότερες και μη υποστηριζόμενες συσκευές router θα πρέπει να αντικατασταθούν με νεότερα μοντέλα και να τοποθετηθούν πίσω από firewalls. Επίσης, η απομακρυσμένη πρόσβαση σε πίνακες διαχειριστή δεν θα πρέπει να εκτίθεται στο διαδίκτυο και τα προεπιλεγμένα διαπιστευτήρια λογαριασμού διαχειριστή θα πρέπει να αλλάξουν.
Επίσης, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις bοtnet συχνά εκμεταλλεύονται γνωστές ευπάθειες.
Δείτε επίσης: Το Gorilla Botnet εμπνευσμένο από το Mirai, χτυπά 0.3 εκατ. στόχους σε 100 χώρες
Απαραίτητη είναι και η χρήση ενός αξιόπιστου προγράμματος ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet (π.χ. KV-Botnet). Οι επιθέσεις bοtnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: www.bleepingcomputer.com