Новогодний подарок от Volt Typhoon: KV-Botnet атакует глобальную сеть

Новогодний подарок от Volt Typhoon: KV-Botnet атакует глобальную сеть

В авангарде китайского ботнета выступили на удивление старые и маломощные сетевые устройства.

image

Исследователи из Black Lotus Labs компании Lumen обнаружили , что продвинутая ботнет-сеть, известная как KV-Botnet напрямую связана с деятельностью китайской хакерской группировки Volt Typhoon.

KV-Botnet — это активный с февраля 2022 года вредоносный ботнет, использующий для атак в основном маломощные устройства категории SOHO.

Так, в июле и августе прошлого года в составе ботнета были замечены устройства Cisco RV320, DrayTek Vigor и NETGEAR ProSAFE. К декабрю этого года в фокусе группы оказались IP-камеры Axis, такие как M1045-LW, M1065-LW и p1367-E.

Microsoft сообщила, что хакерам Volt Typhoon даже удалось проникнуть в организации критической инфраструктуры США и Гуама, оставаясь незамеченными на протяжении длительного времени. Целью кампании китайских хакеров было создание возможностей для нарушения критической коммуникационной инфраструктуры между США и Азией на случай будущих кризисов.

Группа Volt Typhoon активно ведёт кибероперации против критической инфраструктуры разных стран с середины 2021 года, нацеливаясь на организации в сферах связи, производства, энергетики, транспорта, строительства, морского хозяйства, государственного управления, информационных технологий и образования.

Для маскировки своей деятельности группа часто использует техники, основанные на использовании ресурсов заражённых устройств, и активное управление заражением для уклонения от обнаружения.

Исследователи Black Lotus Labs пришли к выводу, что процесс заражения KV-Botnet является многоступенчатым, однако первоначальный механизм заражения до сих пор не обнаружен.

Наблюдаемые изменения в структуре ботнета и начало использования IP-камер перед началом зимы указывают на подготовку к новой кампании. Исследователи предполагают, что это может быть предвестником усиления активности хакеров в праздничный сезон.

Отмечается, что киберпреступники продолжат нацеливаться на устаревшие SOHO-устройства для создания скрытой инфраструктуры. Предпочтение отдаётся этим устройствам из-за их повышенной уязвимости и отсутствия ресурсов для обнаружения и анализа вредоносной активности.

Исследование подчёркивает, что использование KV-Botnet ограничено действиями, связанными с Китаем, и в основном направлено на стратегические интересы в Индо-Тихоокеанском регионе, включая интернет-провайдеров и государственные организации.


Мы клонировали интересный контент!

Никаких овечек — только отборные научные факты

Размножьте знания — подпишитесь