Начался очередной раунд противостояния США и группы Volt Typhoon.
Китайская хакерская группа Volt Typhoon снова активизировалась и начала восстанавливать свой ботнет KV-Botnet, который был уничтожен в январе правоохранительными органами США. По данным SecurityScorecard, группа уже 5 лет занимается кибершпионажем и атакует важные объекты в США и других странах.
Хакеры Volt Typhoon используют уязвимые устройства — маршрутизаторы и сетевые камеры, такие как Netgear ProSAFE, Cisco RV320 и Axis IP-камеры. Киберпреступники устанавливают вредоносное ПО, которое помогает скрыто подключаться к целевым сетям и сохранять доступ.
В январе 2024 года американские власти смогли временно остановить деятельность группы, очистив заражённые устройства от вредоносного ПО. Но уже в августе появились признаки, что хакеры вернулись, используя новую уязвимость.
По последним данным, Volt Typhoon снова взялась за работу и начала восстанавливать ботнет, используя устаревшие маршрутизаторы Cisco и Netgear. За чуть больше месяца хакерам удалось заразить значительное количество устройств. Они используют вредоносное ПО на базе MIPS и веб-оболочки, которые работают на нестандартных портах, что усложняет обнаружение.
С сентября хакеры активно взламывают устройства в Азии и создают новую сеть заражённых устройств. SecurityScorecard дала ботнету другое название — «JDYFJ Botnet», по самоподписанному SSL-сертификату, который обнаружили на заражённых устройствах. Основная цель — устройства Cisco RV320/325 и Netgear ProSafe.
За 37 дней Volt Typhoon смогла заразить почти 30% всех доступных в интернете устройств Cisco RV320/325. Эксперты пока не могут точно сказать, какие именно уязвимости используются, но предполагают, что проблема в том, что для устаревших устройств больше нет обновлений.
Заражения Volt Typhoon
C2-серверы ботнета регистрируются на платформах Digital Ocean, Quadranet и Vultr, что помогает группе создавать более устойчивую сеть. Также хакеры используют взломанное VPN-устройство на острове Новая Каледония для скрытого перенаправления трафика между регионами Азии и Америки.
Специалисты считают, что выбор такого устройства связан с его удобным географическим расположением, что затрудняет отслеживание хакеров. Несмотря на то, что сейчас ботнет Volt Typhoon менее масштабен, чем раньше, хакеры продолжают развивать свои атаки.
Для защиты от таких угроз эксперты рекомендуют заменить старые маршрутизаторы на новые модели, устанавливать их за межсетевыми экранами, закрывать удалённый доступ к настройкам и менять стандартные пароли администраторов. Если используются современные устройства, важно регулярно обновлять прошивку, чтобы устранить уязвимости.
Наш канал — питательная среда для вашего интеллекта