FBI interrompe botnet chinês ao remover malware de roteadores infectados
1 de Fevereiro de 2024

O FBI interrompeu a Botnet KV usado pelos hackers do estado chinês Volt Typhoon para evadir a detecção durante ataques direcionados à infraestrutura crítica dos EUA.

O grupo de hacking (também rastreado como Bronze Silhouette) o usou para sequestrar centenas de pequenos escritórios/casas (SOHO) em todo os Estados Unidos e usá-los para garantir que sua atividade maliciosa se misturasse ao tráfego de rede legítimo para evitar a detecção.

Os dispositivos comprometidos e adicionados a este botnet incluíram roteadores Netgear ProSAFE, Cisco RV320s e DrayTek Vigor, bem como câmeras IP Axis, de acordo com a equipe do Black Lotus Labs da Lumen Technologies, que primeiro associou o malware ao grupo de ameaça chinês em dezembro.

Um relatório do SecurityScorecard de mais cedo neste mês estima que os hackers do Volt Typhoon foram capazes de sequestrar cerca de 30% de todos os dispositivos Cisco RV320/325 online em pouco mais de um mês.

"O malware Volt Typhoon permitiu à China esconder, entre outras coisas, o reconhecimento pré-operacional e a exploração de rede contra infraestruturas críticas como nossos setores de comunicações, energia, transporte e água - passos que a China estava tomando, em outras palavras, para encontrar e preparar para destruir ou degradar a infraestrutura crítica civil que nos mantém seguros e prósperos", disse o diretor do FBI, Christopher Wray.

"Então, trabalhando com nossos parceiros, o FBI fez uma operação autorizada pelo tribunal, em rede, para desligar o Volt Typhoon e o acesso que ele possibilitava."

A operação do FBI começou em 6 de dezembro, quando a agência de aplicação da lei obteve pela primeira vez uma ordem judicial autorizando-a a derrubar a botnet depois de invadir o servidor de comando e controle (C2).

Uma vez dentro, os agentes do FBI enviaram comandos para os dispositivos comprometidos para desconectá-los da botnet e impedir que os hackers chineses os reconectassem à rede maligna.

Eles também emitiram um comando que forçou o malware a desinstalar seu componente de VPN da botnet e bloquear os hackers de usar os dispositivos para conduzir mais ataques através deles.

"A grande maioria dos roteadores que compunham a botnet KV eram roteadores Cisco e NetGear que estavam vulneráveis porque haviam atingido o status de 'fim de vida'; ou seja, eles não eram mais suportados por patches de segurança de seus fabricantes ou outras atualizações de software", explica um comunicado de imprensa do Departamento de Justiça.

"A operação autorizada pelo tribunal deletou o malware da botnet KV dos roteadores e tomou medidas adicionais para cortar sua conexão com a botnet, como bloquear as comunicações com outros dispositivos usados para controlar a botnet."

Hoje, a CISA e o FBI também emitiram orientações para os fabricantes de roteadores SOHO, instando-os a garantir que estão seguros contra os ataques contínuos do Volt Typhoon.

As recomendações incluem a automatização das atualizações de segurança e o acesso permitido às suas interfaces de gerenciamento da web apenas a partir da LAN por padrão, bem como a remoção de falhas de segurança durante as fases de design e desenvolvimento.

Um relatório da Microsoft em maio de 2023 revelou que os hackers do Volt Typhoon têm como alvo e violam organizações de infraestrutura crítica dos EUA desde pelo menos meados de 2021.

A rede de transferência de dados encoberta da botnet KV do grupo de hacking foi usada em ataques direcionados a uma ampla gama de organizações desde pelo menos agosto de 2022, incluindo organizações militares dos EUA, provedores de serviços de telecomunicações e internet, e uma empresa europeia de energia renovável.

A Reuters foi a primeira a relatar a operação do governo dos EUA para interromper a botnet KV na segunda-feira.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...