Los piratas informáticos estatales chinos Volt Typhoon no lograron reactivar una botnet recientemente eliminada por el FBI, que se utilizó anteriormente en ataques dirigidos a infraestructuras críticas en todo Estados Unidos.
Antes de la eliminación de la botnet KV, permitía al grupo de amenazas Volt Typhoon (también conocido como Bronze Silhouette) enviar actividad maliciosa a través de cientos de pequeñas oficinas/oficinas domésticas (SOHO) comprometidas en todo Estados Unidos para evadir la detección.
Sin embargo, después de obtener una orden judicial que le autorizaba a desmantelar la botnet el 6 de diciembre, agentes del FBI tomaron el control de uno de sus servidores de comando y control (C2) y cortaron el acceso de los piratas informáticos chinos a los dispositivos infectados (es decir, terminaron (enrutadores Netgear ProSAFE, Cisco RV320 y DrayTek Vigor más recientes, y cámaras IP Axis).
Dos días después, Volt Typhoon comenzó a escanear Internet en busca de dispositivos más vulnerables para secuestrar y reconstruir la botnet desmantelada.
Según un informe del equipo Black Lotus Labs de Lumen Technologies, los actores de amenazas llevaron a cabo un ataque a gran escala en 3.045 dispositivos, incluido un tercio de todos los enrutadores NetGear ProSAFE expuestos en línea a nivel mundial. De estos intentos lograron infectar 630 dispositivos
“Observamos un período breve pero concentrado de actividad de explotación a principios de diciembre de 2023, cuando los actores de amenazas intentaron restablecer su estructura de comando y control (C2) y devolver la botnet a su funcionamiento”, dijo el equipo de Black Lotus Labs de Lumen Technologies.
“Durante un período de tres días, del 8 al 11 de diciembre de 2023, los operadores de botnets KV apuntaron a aproximadamente el 33% de los dispositivos NetGear ProSAFE en Internet para su reexplotación, un total de 2100 dispositivos distintos”.
Sin embargo, a pesar de sus esfuerzos concertados, Black Lotus Labs frustró los intentos de los piratas informáticos chinos de revivir la botnet al anular el enrutamiento de toda la flota de servidores C2 y de carga útil del atacante durante un mes, entre el 12 de diciembre y el 12 de enero.
Desde que se observó la última baliza de la botnet KV el 3 de enero, no se ha activado ningún otro servidor C2.
“La falta de un servidor C2 activo combinada con la acción autorizada por el tribunal del FBI contra la botnet KV y el enrutamiento nulo persistente de Lumen Technologies de la infraestructura actual y nueva del clúster KV proporciona una buena indicación de que el clúster de actividad KV ya no está efectivamente activo”. Dijo Black Lotus Labs.
Volt Typhoon ha estado violando la infraestructura crítica de EE. UU. desde al menos mediados de 2021, utilizando un grupo de botnets KV de firewalls Fortinet FortiGate comprometidos (activos hasta agosto de 2023) como trampolín para sus ataques.
La lista de organizaciones que los ciberespías chinos han violado y atacado incluye organizaciones militares estadounidenses, proveedores de servicios de Internet y telecomunicaciones, así como una empresa europea de energía renovable.
Hace una semana, CISA y el FBI instaron a los fabricantes de enrutadores SOHO a garantizar que sus dispositivos estén seguros contra los continuos ataques de Volt Typhoon mediante el uso de configuraciones predeterminadas seguras y la eliminación de fallas en la interfaz de administración web durante el desarrollo.