ASV FIB (Federālais izmeklēšanas birojs) ir izjaucis KV botnet, ko izmantoja ar Ķīnas valdību saistītais hakeru grupējums Volt Typhoon. Grupējums bija izmantojis pamatā ASV bāzētas iekārtas, lai uzbruktu ASV kritiskajai infrastruktūrai.
Hakeru grupa (izsekojama arī kā Bronze Silhouette) izmantoja botu tīklu, lai paplašinātu tīklu pārtverot simtiem mazo biroju un mājas biroju (SOHO – small office/home offices) iekārtas visā ASV. Tāpat botu tīkls tika izmantots, lai nodrošinātu, ka to ļaunprātīgās darbības saplūst ar likumīgu datu plūsmu, tādā veidā izvairoties no atklāšanas.
Kompromitētās iekārtas
Saskaņā ar kiberdrošības pētnieku komandu, kas decembrī pirmo reizi sasaistīja šo ļaunatūru ar Ķīnas draudu grupu, kompromitētās un šim botu tīklam pievienotās ierīces ietvēra Netgear ProSAFE, Cisco RV320 un DrayTek Vigor maršrutētājus, kā arī Axis IP kameras.
SecurityScorecard šā mēneša sagatavotajā ziņojumā tika norādīts, ka Volt Typhoon hakeri, nedaudz vairāk, nekā mēneša laikā spēja pārņemt savā kontrolē aptuveni 30% no visām Cisco RV320/325 ierīcēm tiešsaistē.
“Ļaunatūra Volt Typhoon ļāva Ķīnai citu starpā slēpt pirms-operāciju izlūkošanu un tīkla izmantošanu pret kritisko infrastruktūru, tai skaitā, mūsu komunikāciju, enerģētikas, transporta un ūdensapgādes nozarēm. Citiem vārdiem sakot, šis tīkls ļāva atrast un sagatavoties iznīcināt vai degradēt civilo kritisko infrastruktūru, kas nodrošina mūsu drošību un labklājību,” teica FIB direktors Kristofers Rejs.
“Tāpēc, sadarbojoties ar mūsu partneriem, FIB veica tiesas apstiprinātu operāciju tiešsaistē, lai apturētu Volt Typhoon un piekļuvi, ko tas nodrošināja.”
FIB operācija sākās 6. decembrī, kad tiesībaizsardzības iestāde vispirms ieguva tiesas rīkojumu, kas tai ļāva likvidēt botu tīklu, uzlaužot tā vadības un kontroles (C2 – command-and-control) serveri.
Piekļūstot serverim, FIB aģenti uz apdraudētajām ierīcēm nosūtīja norādes, lai tās atslēgtu no botu tīkla un novērstu Ķīnas hakeru atkārtotu pieslēgšanos ļaunprātīgajam tīklam.
Viņi arī nosūtīja komandas, kas piespieda ļaunatūru atinstalēt tās botu tīkla VPN komponentu, un bloķēja hakeru iespējas izmantot ierīces, lai ar to starpniecību veiktu turpmākus uzbrukumus.
“Tiesas apstiprinātajā operācijā izdzēsām KV botu tīkla ļaunatūru no maršrutētājiem un veicām papildu darbības, lai pārtrauktu to savienojumu ar botu tīklu, piemēram, bloķējot saziņu ar citām ierīcēm, kas tika izmantotas botu tīkla kontrolēšanai.”
Rekomendācijas pēc šī gadījuma
CISA (Cybersecurity and Infrastructure Security Agency) un FIB izdeva arī norādījumus SOHO maršrutētāju ražotājiem un tehniskajiem apkalpotājiem. Aicinot tos nodrošināt, lai tie būtu aizsargāti pret Volt Typhoon uzbrukumiem.
Ieteikumi ietver drošības atjauninājumu automatizēšanu un piekļuves atļaušanu tīmekļa pārvaldības interfeisiem pēc noklusējuma tikai no lokālā tīkla (LAN), kā arī drošības trūkumu novēršanu izstrādes un attīstības fāzēs.
2023. gada maija Microsoft ziņojums atklāja, ka Volt Typhoon hakeri vismaz kopš 2021. gada vidus ir uzbrukuši ASV kritiskās infrastruktūras organizācijām.
Hakeru grupas KV botnet slēptais botu tīkls vismaz kopš 2022. gada augusta tika izmantots uzbrukumos, kuru mērķis bija dažādas organizācijas. Tostarp ASV militārās organizācijas, telekomunikāciju un interneta pakalpojumu sniedzēji un viens Eiropas atjaunojamās enerģijas uzņēmums.
