FBI, Çin'in kritik altyapısını hedefleyen saldırılar sırasında tespitten kaçınmak için Çin Volt Typhoon State bilgisayar korsanları tarafından kullanılan KV botnet'ini bozdu.
Hacking grubu (bronz siluet olarak da izlenir), Amerika Birleşik Devletleri'nde yüzlerce küçük ofis/ev ofisini (SOHO) kaçırmak için kullandı ve bunları tespiti önlemek için kötü niyetli etkinliklerinin meşru ağ trafiğinde karışmasını sağlamak için kullandı.
Lumen Technologies'in Black Lotus Labs ekibine göre, bu botnetten ödün verilen ve bu botnet'e eklenen cihazlar arasında Netgear Prosafe, Cisco RV320'ler ve Draytek Vigor yönlendiricileri ve eksen IP kameraları vardı.
Bu ayın başlarındaki bir güvenlik kartı raporu, Volt Typhoon bilgisayar korsanlarının bir aydan fazla bir süredir çevrimiçi Cisco RV320/325 cihazların yaklaşık% 30'unu kaçırabildiğini tahmin ediyor.
"Volt Typhoon kötü amaçlı yazılım, Çin'in diğer şeylerin yanı sıra, iletişim öncesi keşif ve ağ sömürüsünü iletişim, enerji, ulaşım ve su sektörlerimiz gibi kritik altyapıya karşı gizlemesini sağladı-Çin, Çin'in başka bir deyişle, başka bir deyişle, FBI direktörü Christopher Wray, bizi güvenli ve müreffeh tutan sivil eleştirel altyapıyı yok ediyor veya bozuyor.
Diyerek şöyle devam etti: "Bu yüzden ortaklarımızla çalışan FBI, Volt Typhoon'u kapatmak için mahkeme yetkili, ağ üzerine bir operasyon yürüttü ve erişimi etkinleştirdi."
FBI'ın operasyonu 6 Aralık'ta, kolluk kuvvetinin ilk kez komuta ve kontrol (C2) sunucusuna hackledikten sonra Botnet'i devirme yetkisi veren bir mahkeme emri aldığı zaman başladı.
Bir kez, FBI ajanları, onları Botnet'ten kesmek ve Çinli bilgisayar korsanlarının onları kötü amaçlı ağa yeniden bağlamasını önlemek için tehlikeye atılan cihazlara komutlar gönderdi.
Ayrıca, kötü amaçlı yazılımları BotNet VPN bileşenini kaldırmaya ve bilgisayar korsanlarının, daha fazla saldırı yapmak için cihazları kullanmasını engellemeye zorlayan bir komut yayınladılar.
"KV botnet'i oluşturan yönlendiricilerin büyük çoğunluğu, 'yaşamın sonu' durumuna ulaştıkları için savunmasız olan Cisco ve netgear yönlendiricilerdi; yani, üreticilerinin güvenlik yamaları veya diğer yazılım güncellemeleri aracılığıyla artık desteklenmediler," a Adalet Bakanlığı basın açıklaması açıklıyor.
"Mahkeme yetkili operasyon, KV Botnet kötü amaçlı yazılımlarını yönlendiricilerden sildi ve botnet ile bağlantılarını kesmek için ek adımlar attı, örneğin BotNet'i kontrol etmek için kullanılan diğer cihazlarla iletişimi engelledi."
Bugün, CISA ve FBI ayrıca Soho yönlendirici üreticileri için rehberlik yaptılar ve onları Volt Typhoon'un devam eden saldırılarına karşı güvence altına alınmalarını istediler.
Öneriler, güvenlik güncellemelerini otomatikleştirmeyi ve Web yönetim arayüzlerine yalnızca LAN'dan erişimin varsayılan olarak erişmesine izin vermenin yanı sıra tasarım ve geliştirme aşamaları sırasında güvenlik kusurlarının kaldırılmasını içerir.
Mayıs 2023'teki bir Microsoft raporu, Volt Typhoon bilgisayar korsanlarının en azından 2011 ortasından bu yana ABD kritik altyapı organizasyonlarını hedeflediğini ve ihlal ettiğini ortaya koydu.
Hacking grubunun KV Botnet gizli veri transfer ağı, en azından Ağustos 2022'den bu yana ABD askeri kuruluşları, telekomünikasyon ve internet hizmet sağlayıcıları ve Avrupa yenilenebilir bir enerji firması da dahil olmak üzere çok çeşitli kuruluşları hedefleyen saldırılarda kullanıldı.
Reuters ilk olarak ABD hükümetinin KV Botnet bozulma operasyonunu Pazartesi günü bildirdi.
Gizli KV-Botnet Kaçakları Soho Yönlendiricileri ve VPN Cihazları
CISA: Satıcılar, volt tayfun saldırılarına karşı soho yönlendiricilerini güvence altına almalı
Microsoft: İranlı hackerlar yeni Mediapl kötü amaçlı yazılımları ile araştırmacıları hedefleyin
FBI, ihlal edilen siber suç forumu veritabanına erişimi onaylar
FBI: Eleştirel Orgs dahil olmak üzere 300 kurbanı ihlal eden fidye yazılımı
Kaynak: Bleeping Computer