Hackers do estado do Typhoon Volt chinês falharam na tentativa de reativar uma rede de bots recentemente derrubada pelo FBI, previamente usada em ataques direcionados à infraestrutura crítica nos Estados Unidos.
Antes da derrubada da KV-botnet, ela permitia ao grupo de ameaças Typhoon Volt (também conhecido como Bronze Silhouette) mascarar atividades maliciosas através de centenas de pequenos escritórios/casas (SOHO) comprometidos nos EUA para evitar detecção.
No entanto, após obter uma ordem judicial autorizando a desmontagem da rede de bots em 6 de dezembro, agentes do FBI assumiram o controle de um de seus servidores de comando e controle (C2) e cortaram o acesso dos hackers chineses aos dispositivos infectados (ou seja, Netgear ProSAFE descontinuados, Cisco RV320s, roteadores DrayTek Vigor, e câmeras IP Axis).
Dois dias depois, o Typhoon Volt começou a vasculhar a Internet em busca de mais dispositivos vulneráveis para sequestrar e reconstruir a rede de bots desmantelada.
De acordo com um relatório da equipe Black Lotus Labs da Lumen Technologies, os atores da ameaça realizaram um ataque em larga escala em 3.045 dispositivos, incluindo um terço de todos os roteadores NetGear ProSAFE expostos online globalmente.
Dessas tentativas, eles conseguiram infectar 630 dispositivos.
"Observamos um breve mas concentrado período de atividade de exploração no início de dezembro de 2023, quando os atores das ameaças tentaram restabelecer sua estrutura de comando e controle (C2) e retornar a rede de bots à ordem de trabalho", disse a equipe da Lumen Technologies' Black Lotus Labs.
"Em um período de três dias, de 8 a 11 de dezembro de 2023, os operadores da KV-botnet miraram aproximadamente 33% dos dispositivos NetGear ProSAFE na Internet para reexploração, num total de 2.100 dispositivos distintos".
No entanto, apesar de seus esforços concertados, a Black Lotus Labs frustrou as tentativas dos hackers chineses de reativar a rede de bots ao desativar o servidor de comando e controle (C2) e a frota do servidor de payload do agressor ao longo de um mês, entre 12 de dezembro e 12 de janeiro.
Desde a última detecção de atividade da KV-botnet em 3 de janeiro, nenhum outro servidor C2 foi ativado.
"A falta de um servidor C2 ativo combinada com a ação autorizada pela corte do FBI contra a KV-botnet e o constante bloqueio da infraestrutura atual e nova do cluster KV pela Lumen Technologies indica que o cluster de atividades da KV não está mais efetivamente ativo", disse a Black Lotus Labs.
O Typhoon Volt vem invadindo a infraestrutura crítica dos EUA desde pelo menos meados de 2021, usando um cluster de KV-botnet de firewalls Fortinet FortiGate comprometidos (ativo até agosto de 2023) como trampolim para seus ataques.
A lista de organizações que os ciberespiões chineses invadiram e direcionaram inclui organizações militares dos EUA, provedores de telecomunicações e de internet, bem como uma empresa europeia de energia renovável.
Uma semana atrás, o CISA e o FBI pediram aos fabricantes de roteadores SOHO para garantir a segurança de seus dispositivos contra os ataques contínuos do Typhoon Volt, usando configurações padrão seguras e eliminando falhas da interface de gestão web durante o desenvolvimento.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...