Botnet KV-stealthy sequestra roteadores SOHO e dispositivos VPN
14 de Dezembro de 2023

O grupo de hackers patrocinado pelo estado chinês conhecido como Volt Typhoon (Bronze Silhouette) foi associado a um sofisticado botnet chamado 'KV-botnet' que tem sido usado desde pelo menos 2022 para atacar roteadores SOHO em alvos de alto valor.

Volt Typhoon costuma mirar roteadores, firewalls e dispositivos VPN para desviar tráfego malicioso e assim se misturar ao tráfego legítimo para permanecer indetectável.

Um relatório conjunto da Microsoft e do governo dos EUA avalia que os invasores estão construindo uma infraestrutura que pode ser usada para interromper a infraestrutura de comunicações nos EUA.

"A Microsoft avalia com confiança moderada que essa campanha do Volt Typhoon está buscando desenvolver capacidades que poderiam interromper a infraestrutura de comunicações críticas entre os Estados Unidos e a região da Ásia durante futuras crises", adverte a Microsoft.

Um relatório detalhado publicado hoje pela equipe do Black Lotus Labs na Lumen Technologies revela que uma campanha do Volt Typhoon tem como alvo firewalls Netgear ProSAFE, Cisco RV320s, roteadores DrayTek Vigor e, mais recentemente, câmeras IP Axis.

"A campanha infecta dispositivos na borda das redes, um segmento que emergiu como um ponto fraco na defesa de muitas empresas, agravado pela mudança para o trabalho remoto nos últimos anos", explica Lumen.

A rede de transferência de dados construída com a ajuda do KV-botnet foi usada em ataques a provedores de telecomunicações e de internet, uma entidade governamental territorial dos EUA em Guam, uma empresa de energia renovável na Europa e organizações militares americanas.

O alcance do alvo do KV-botnet indica um foco em espionagem e coleta de informações, embora a Black Lotus relate que muitas das infecções pareçam ser oportunísticas.

A atividade do botnet aumentou significativamente desde agosto de 2023 e depois novamente em meados de novembro de 2023.

Os mais recentes ataques observados ocorreram em 5 de dezembro de 2023, então a atividade maliciosa ainda está em andamento.

Black Lotus identificou dois grupos de atividades, separados como 'KV' e 'JDY.' O primeiro tem como alvo entidades de alto valor e é provavelmente operado manualmente, enquanto o último se envolve em uma varredura mais ampla usando técnicas menos sofisticadas.

O botnet tem como alvo dispositivos obsoletos usados por entidades SOHO (pequeno escritório, escritório doméstico) que não mantêm uma postura de segurança sólida.

As arquiteturas suportadas incluem ARM, MIPS, MIPSEL, x86_64, i686, i486 e i386.

Os ataques inicialmente se concentraram no Cisco RV320s, roteadores DrayTek Vigor e firewalls NETGEAR ProSAFE, mas o malware foi posteriormente ampliado para também atacar câmeras IP Axis como modelos M1045-LW, M1065-LW e p1367-E.

O Volt Typhoon realiza uma cadeia complexa de infecções que envolve múltiplos arquivos como sudo scripts (kv.sh), paralisação de processos específicos e remoção das ferramentas de segurança em execução no dispositivo infectado.

Para evitar detecção, o bot configura portas aleatórias para comunicação com o servidor de C2 (comando e controle) e se disfarça adotando os nomes de processos existentes.

Além disso, todas as ferramentas residem na memória, portanto, o bot é difícil de detectar, embora essa abordagem afete sua capacidade de persistir em dispositivos comprometidos.

Os comandos que KV-botnet recebe do C2 se referem à atualização de configurações de comunicação, exfiltração de informações do host, transmissão de dados, criação de conexões de rede, execução de tarefas do host e outros.

“Embora não tenhamos descoberto nenhuma função pré-construída no código original para possibilitar a segmentação da LAN adjacente, a capacidade de criar um shell remoto no dispositivo SOHO foi identificada” explica Black Lotus no relatório.

"Essa capacidade poderia ter sido usada para executar comandos manualmente ou potencialmente recuperar um módulo secundário ainda a ser descoberto para atacar a LAN adjacente."

Black Lotus Labs vincula este botnet ao Volt Typhoon após encontrar sobreposições em endereços de IP, táticas semelhantes e horários de trabalho que se alinham com o horário padrão da China.

As avançadas técnicas de ofuscação e canais de transferência de dados secretos vistos nos ataques do KV-botnet, como o uso de camadas de tunelamento, coincidem com as táticas anteriormente documentadas do Volt Typhoon, assim como a seleção e o interesse alvo em regiões e tipos de organização específicos.

Além disso, o relatório Lumen menciona um declínio suspeito nas operações do KV-botnet que coincidiu com a divulgação pública das atividades do Volt Typhoon pela CISA em maio de 2023.

Lumen divulgou indicadores de comprometimento (IOCs) no GitHub, incluindo hashes de malware e endereços IP associados à botnet.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...