O grupo chinês patrocinado pelo estado, conhecido como Volt Typhoon, começou a reconstruir seu "KV-Botnet" malware botnet após ser interrompido pelas autoridades policiais em janeiro, de acordo com pesquisadores da SecurityScorecard.
Volt Typhoon é um grupo chinês de ciberespionagem patrocinado pelo estado que, acredita-se, tenha infiltrado infraestruturas críticas dos EUA, entre outras redes ao redor do mundo, há pelo menos cinco anos.
Sua estratégia principal envolve hackear roteadores SOHO e dispositivos de rede, como firewalls Netgear ProSAFE, Cisco RV320s, roteadores DrayTek Vigor e câmeras IP Axis, para instalar malware personalizado que estabelece canais de comunicação e proxy encobertos e mantém acesso persistente às redes visadas.
Em janeiro de 2024, as autoridades dos EUA anunciaram a interrupção do botnet Volt Typhoon, que envolveu a limpeza de malware de roteadores infectados.
Embora a primeira tentativa de revivência do Volt Typhoon em fevereiro tenha falhado, relatórios de atores de ameaças explorando uma vulnerabilidade zero-day em agosto indicaram que o grupo de ameaças permaneceu muito ativo.
De acordo com um relatório da SecurityScorecard, Volt Typhoon começou a reconstruir seu botnet visando roteadores Cisco e Netgear desatualizados e comprometeu um número significativo de dispositivos em pouco mais de um mês.
Esses roteadores são comprometidos usando malware baseado em MIPS e webshells que se comunicam por portas não padrão, tornando a detecção mais desafiadora.
SecurityScorecard relata que, desde setembro, Volt Typhoon retornou por meio de uma nova rede de dispositivos comprometidos localizados principalmente na Ásia.
O KV-Botnet, também conhecido como 'JDYFJ Botnet' pela SecurityScorecard devido ao certificado SSL autoassinado visto nos dispositivos comprometidos, tenta comprometer principalmente dispositivos Cisco RV320/325 e da série Netgear ProSafe.
Pesquisadores da equipe STRIKE da SecurityScorecard dizem que, em apenas 37 dias, Volt Typhoon comprometeu cerca de 30% de todos os dispositivos Cisco RV320/325 expostos na internet.
No entanto, ainda não se sabe como os dispositivos estão sendo violados.
"Não sabemos especificamente que fragilidade ou falha está sendo explorada. No entanto, com os dispositivos no fim de sua vida útil, atualizações não são mais fornecidas", disseram os pesquisadores.
Além disso, os pesquisadores disseram que eles não têm uma visão detalhada de qual malware está sendo usado no botnet revivido.
No entanto, eles observaram que alguns dos mesmos dispositivos que foram infectados antes da repressão juntaram-se ao cluster mais uma vez.
A operação principal do KV-Botnet parece ser ofuscar atividades maliciosas roteando tráfego através da infraestrutura legítima comprometida.
Os servidores de comando do botnet estão registrados na Digital Ocean, Quadranet e Vultr, para alcançar uma rede mais diversa e resiliente.
Curiosamente, Volt Typhoon usa um dispositivo VPN comprometido localizado na ilha do Pacífico da Nova Caledônia como uma ponte que roteia o tráfego entre a Ásia-Pacífico e a América, atuando como um hub sigiloso.
Comentando sobre essa escolha, a SecurityScorecard disse que provavelmente é uma decisão baseada na geografia escolhida pelos atores de ameaças.
A atividade observada sinaliza o retorno do Volt Typhoon às operações globais e, embora a escala do botnet esteja longe das iterações anteriores, os hackers chineses estão destinados a avançar com persistência contínua.
Para proteger contra essa ameaça, dispositivos de roteador antigos e sem suporte devem ser substituídos por modelos mais novos, colocados atrás de firewalls, o acesso remoto aos painéis admin não deve ser exposto à internet e as credenciais de conta admin padrão devem ser alteradas.
Se você estiver usando roteadores SOHO mais novos, certifique-se de instalar o firmware mais recente assim que estiver disponível para corrigir vulnerabilidades conhecidas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...