APT Группа из Китая, известная как Volt Typhoon, попыталась восстановить ботнет, нацеленный на критическую инфраструктуру США, в течении недели после того, как он был раскрыт ФБР, но им помешала группа исследователей по кибербезопасности.
На прошлой неделе Министерство юстиции объявило, что ФБР отключило сотни маршрутизаторов для домашних офисов (SOHO), подключенных к ботсети KV Volt Typhoon, которую они использовали для сокрытия интернет-трафика, связанного с ее вредоносной деятельностью.
Отключение ботнета произошло в декабре, спустя несколько месяцев после того, как впервые стали известны опасения относительно скрытых атак Volt Typhoon на критическую инфраструктуру. Исследователи из Black Lotus Labs компании Lumen заявили, что в течение следующего месяца они заблокировали соединения между скомпрометированными маршрутизаторами и серверами Volt Typhoon, предотвратив возобновление ботсети.
Хотя уничтожение ботнета является одной из немногочисленных побед над подобным типом угроз, поддерживаемой государством США, это не снизило значительных опасений властей относительно угрозы, которую представляет Volt Typhoon.
Вчера федеральные агентства США и директивы по кибербезопасности из четырех других стран раскрыли новые детали о группе, включая то, что она сохраняла доступ к некоторым целевым организациям как минимум в течение последних пяти лет.
'Сосредоточенные' усилия группы по восстановлению ботнета
В сообщении от 7 февраля исследователи Black Lotus Labs из Lumen заявили, что они наблюдали "краткий, но сосредоточенный период активности эксплуатации" в дни после отключения ФБР, когда Volt Typhoon пытались восстановить свою структуру С2 серверов и оживить ботнет.
"В течение трех дней с 8 по 11 декабря 2023 года операторы ботнета KV нацелились на около 33% устройств NetGear ProSAFE в Интернете для повторной эксплуатации, было замечено всего 2100 отдельных устройств", - заявили исследователи.
"Несмотря на все усилия операторов ботсети, быстрое блокирование со стороны Lumen Technologies в сочетании с действиями, разрешенными судом ФБР, оказали значительное влияние на время работы, охват и устойчивость ботнета KV".
Однако исследователи предупредили, что использование компрометированных маршрутизаторов и брандмауэров Volt Typhoon - это та тактика, которая которую специалисты больше всего ожидают, самый ожидаемый исход это то, что злоумышленники будут пытаться продолжать использовать подобную стратегию.
"В Интернете существует большое количество устройств, которые являются устаревшими и считаются устаревшими, но все еще достаточно хорошо функционируют, чтобы оставаться в обслуживании для конечных пользователей", - предупредили они.
"Злоумышленники будут продолжать нацеливаться на устройства средней и высокой пропускной способности в географических областях своих целей, поскольку пользователи вряд ли заметят влияние или обладают необходимыми инструментами мониторинга исследования для обнаружения заражения".
Volt Typhoon внедрялся в целевые системы на протяжении пяти лет
Тем временем, Агентство кибербезопасности и инфраструктуры (CISA) США вместе с несколькими другими агентствами США и групамми по кибербезопасности в Канаде, Великобритании, Австралии и Новой Зеландии опубликовали новое предупреждение о Volt Typhoon, с рекомендациями по смягчению и предотвращения возможного урона.
Агентства опубликовали два подробных информационных сообщения 7 февраля. Первое из них описывает угрозы, представляемые государственными APT групировками из Китайской Народной Республики (КНР), включая Volt Typhoon, и способы их смягчения. Второе сообщение сосредоточено на использовании угроз (включая Volt Typhoon) методов как "Leaving Off The Land" (LOTL).
"В последние годы США наблюдали стратегический сдвиг в киберугрозах со стороны ПКР от фокуса на шпионаже к предварительной подготовке к возможным разрушительным кибератакам против критической инфраструктуры США", - говорится в заявлении CISA.
В первом отчете агентств описываются методы LOTL как характерная черта вредоносной деятельности Volt Typhoon при нападении на критические инфраструктуры.
"Группа также полагается на действующие учетные записи и умело заметает следы, что в совокупности позволяет сохранять долгосрочную незамеченную устойчивость", - говорится в отчете.
Срочные меры по смягчению
В отчете подчеркивается, что организации должны немедленно предпринять три шага для смягчения деятельности Volt Typhoon:
Обновить операционки и серверное ПО, для IoT устройств, и приоритизировать исправление критических уязвимостей в устройствах, которые часто эксплуатируются Volt Typhoon.
Внедрить меры безопасности с многофакторной аутентификацией (MFA), устойчивой к фишингу.
Убедиться, что включено логирование для приложений, включая логи подключений и сетевых мониторов, а также бекапить логи на центральные системы.
Спойлер: Источник
На прошлой неделе Министерство юстиции объявило, что ФБР отключило сотни маршрутизаторов для домашних офисов (SOHO), подключенных к ботсети KV Volt Typhoon, которую они использовали для сокрытия интернет-трафика, связанного с ее вредоносной деятельностью.
Отключение ботнета произошло в декабре, спустя несколько месяцев после того, как впервые стали известны опасения относительно скрытых атак Volt Typhoon на критическую инфраструктуру. Исследователи из Black Lotus Labs компании Lumen заявили, что в течение следующего месяца они заблокировали соединения между скомпрометированными маршрутизаторами и серверами Volt Typhoon, предотвратив возобновление ботсети.
Хотя уничтожение ботнета является одной из немногочисленных побед над подобным типом угроз, поддерживаемой государством США, это не снизило значительных опасений властей относительно угрозы, которую представляет Volt Typhoon.
Вчера федеральные агентства США и директивы по кибербезопасности из четырех других стран раскрыли новые детали о группе, включая то, что она сохраняла доступ к некоторым целевым организациям как минимум в течение последних пяти лет.
'Сосредоточенные' усилия группы по восстановлению ботнета
В сообщении от 7 февраля исследователи Black Lotus Labs из Lumen заявили, что они наблюдали "краткий, но сосредоточенный период активности эксплуатации" в дни после отключения ФБР, когда Volt Typhoon пытались восстановить свою структуру С2 серверов и оживить ботнет.
"В течение трех дней с 8 по 11 декабря 2023 года операторы ботнета KV нацелились на около 33% устройств NetGear ProSAFE в Интернете для повторной эксплуатации, было замечено всего 2100 отдельных устройств", - заявили исследователи.
"Несмотря на все усилия операторов ботсети, быстрое блокирование со стороны Lumen Technologies в сочетании с действиями, разрешенными судом ФБР, оказали значительное влияние на время работы, охват и устойчивость ботнета KV".
Однако исследователи предупредили, что использование компрометированных маршрутизаторов и брандмауэров Volt Typhoon - это та тактика, которая которую специалисты больше всего ожидают, самый ожидаемый исход это то, что злоумышленники будут пытаться продолжать использовать подобную стратегию.
"В Интернете существует большое количество устройств, которые являются устаревшими и считаются устаревшими, но все еще достаточно хорошо функционируют, чтобы оставаться в обслуживании для конечных пользователей", - предупредили они.
"Злоумышленники будут продолжать нацеливаться на устройства средней и высокой пропускной способности в географических областях своих целей, поскольку пользователи вряд ли заметят влияние или обладают необходимыми инструментами мониторинга исследования для обнаружения заражения".
Volt Typhoon внедрялся в целевые системы на протяжении пяти лет
Тем временем, Агентство кибербезопасности и инфраструктуры (CISA) США вместе с несколькими другими агентствами США и групамми по кибербезопасности в Канаде, Великобритании, Австралии и Новой Зеландии опубликовали новое предупреждение о Volt Typhoon, с рекомендациями по смягчению и предотвращения возможного урона.
Агентства опубликовали два подробных информационных сообщения 7 февраля. Первое из них описывает угрозы, представляемые государственными APT групировками из Китайской Народной Республики (КНР), включая Volt Typhoon, и способы их смягчения. Второе сообщение сосредоточено на использовании угроз (включая Volt Typhoon) методов как "Leaving Off The Land" (LOTL).
"В последние годы США наблюдали стратегический сдвиг в киберугрозах со стороны ПКР от фокуса на шпионаже к предварительной подготовке к возможным разрушительным кибератакам против критической инфраструктуры США", - говорится в заявлении CISA.
В первом отчете агентств описываются методы LOTL как характерная черта вредоносной деятельности Volt Typhoon при нападении на критические инфраструктуры.
"Группа также полагается на действующие учетные записи и умело заметает следы, что в совокупности позволяет сохранять долгосрочную незамеченную устойчивость", - говорится в отчете.
Срочные меры по смягчению
В отчете подчеркивается, что организации должны немедленно предпринять три шага для смягчения деятельности Volt Typhoon:
Обновить операционки и серверное ПО, для IoT устройств, и приоритизировать исправление критических уязвимостей в устройствах, которые часто эксплуатируются Volt Typhoon.
Внедрить меры безопасности с многофакторной аутентификацией (MFA), устойчивой к фишингу.
Убедиться, что включено логирование для приложений, включая логи подключений и сетевых мониторов, а также бекапить логи на центральные системы.
Спойлер: Источник