Teacher
Professional
- Messages
- 2,670
- Reaction score
- 775
- Points
- 113
Участники угрозы, стоящие за KV-ботнетом, внесли "изменения в поведение" вредоносной сети, поскольку правоохранительные органы США начали отдавать команды по нейтрализации активности.
KV-ботнет - это название, данное сети взломанных маршрутизаторов и брандмауэров для небольших офисов и домашних учреждений (SOHO) по всему миру, при этом один конкретный кластер действует как система скрытой передачи данных для других китайских государственных структур, включая Volt Typhoon (он же Бронзовый силуэт, Коварный Телец или Авангардная Панда).
Активен как минимум с февраля 2022 года, впервые задокументирован командой Black Lotus Labs в Lumen Technologies в середине декабря 2023 года. Известно, что ботнет состоит из двух основных подгрупп, а именно. KV и JDY, причем последняя в основном используется для сканирования потенциальных целей в целях разведки.
В конце прошлого месяца правительство США объявило о санкционированной судом попытке отключения кластера KV, который обычно зарезервирован для ручных операций против громких целей, выбранных после более широкого сканирования с помощью подгруппы JDY.
Теперь, согласно новым выводам фирмы по кибербезопасности, кластер JDY замолчал примерно на пятнадцать дней после публичного раскрытия и как побочный продукт деятельности Федерального бюро расследований США (ФБР).
"В середине декабря 2023 года мы наблюдали за этим кластером активности, насчитывающим около 1500 активных ботов", - сказал исследователь безопасности Райан Инглиш. "Когда мы определили размер этого кластера в середине января 2024 года, его численность сократилась примерно до 650 ботов".
Учитывая, что действия по удалению начались с подписанного ордера, выданного 6 декабря 2023 года, справедливо предположить, что ФБР начало передавать команды маршрутизаторам, расположенным в США, примерно в этот день или позже, чтобы стереть полезную нагрузку ботнета и предотвратить их повторное заражение.
"Мы наблюдали, как операторы KV-ботнета начали реструктуризацию, совершив восемь часов работы подряд 8 декабря 2023 года, почти десять часов работы на следующий день, 9 декабря 2023 года, за которыми последовал один час 11 декабря 2023 года", - сказал Lumen в техническом отчете, опубликованном The Hacker News.
В течение этого четырехдневного периода был замечен субъект угрозы, взаимодействующий с 3045 уникальными IP-адресами, которые были связаны с NETGEAR ProSAFEs (2158), Cisco RV 320/325 (310), IP-камерами Axis (29), маршрутизаторами DrayTek Vigor (17) и другими неопознанными устройствами (531).
Также в начале декабря 2023 года наблюдался массовый всплеск попыток использования сервера полезной нагрузки, что указывает на вероятные попытки злоумышленника повторно использовать устройства, поскольку они обнаружили, что их инфраструктура отключена. Lumen заявила, что также предприняла шаги по обнулению другого набора резервных серверов, которые заработали примерно в то же время.
Стоит отметить, что операторы KV-ботнета, как известно, проводят собственную разведку и целеуказание, а также поддерживают несколько групп, таких как Volt Typhoon. Интересно, что временные метки, связанные с эксплуатацией ботов, соотносятся с рабочим временем в Китае.
"Наша телеметрия показывает, что были административные подключения к известным серверам полезной нагрузки с IP-адресов, связанных с China Telecom", - сказал The Hacker News Дэнни Адамитис, главный инженер по информационной безопасности Black Lotus Labs.
Более того, в заявлении Министерства юстиции США ботнет описывается как контролируемый "хакерами, спонсируемыми государством Китайской Народной Республики (КНР)".
Это повышает вероятность того, что ботнет "был создан организацией, поддерживающей хакеров Volt Typhoon; тогда как, если бы ботнет был создан Volt Typhoon, мы подозреваем, что они сказали бы "деятели национального государства"", - добавил Адамитис.
Также есть признаки того, что субъекты угрозы создали третий связанный, но отдельный кластер ботнетов, получивший название x.sh уже в январе 2023 года, состоящий из зараженных маршрутизаторов Cisco, путем развертывания веб-оболочки под названием "fys.sh", как подчеркивалось SecurityScorecard в прошлом месяце.
Но поскольку KV-ботнет является всего лишь "одной из форм инфраструктуры, используемой Volt Typhoon для сокрытия своей деятельности", ожидается, что недавняя волна действий побудит спонсируемых государством субъектов предположительно перейти к другой тайной сети для достижения своих стратегических целей.
"Значительный процент всего сетевого оборудования, используемого по всему миру, функционирует отлично, но больше не поддерживается", - сказал Инглиш. "Конечные пользователи оказываются перед трудным финансовым выбором, когда устройство достигает этой точки, и многие даже не знают, что срок службы маршрутизатора или брандмауэра подходит к концу.
"Продвинутые участники угроз хорошо понимают, что это представляет собой благодатную почву для эксплуатации. Замена неподдерживаемых устройств всегда является лучшим выбором, но не всегда осуществима ".
"Смягчение последствий включает в себя добавление защитниками своих периферийных устройств к длинному списку тех, которые у них уже есть, для исправления и обновления как можно чаще, перезагрузку устройств и настройку решений EDR или SASE, где это применимо, и отслеживание больших объемов передачи данных из сети. Геозона - это не та защита, на которую можно положиться, когда субъект угрозы может перейти из соседней точки."
KV-ботнет - это название, данное сети взломанных маршрутизаторов и брандмауэров для небольших офисов и домашних учреждений (SOHO) по всему миру, при этом один конкретный кластер действует как система скрытой передачи данных для других китайских государственных структур, включая Volt Typhoon (он же Бронзовый силуэт, Коварный Телец или Авангардная Панда).
Активен как минимум с февраля 2022 года, впервые задокументирован командой Black Lotus Labs в Lumen Technologies в середине декабря 2023 года. Известно, что ботнет состоит из двух основных подгрупп, а именно. KV и JDY, причем последняя в основном используется для сканирования потенциальных целей в целях разведки.
В конце прошлого месяца правительство США объявило о санкционированной судом попытке отключения кластера KV, который обычно зарезервирован для ручных операций против громких целей, выбранных после более широкого сканирования с помощью подгруппы JDY.
Теперь, согласно новым выводам фирмы по кибербезопасности, кластер JDY замолчал примерно на пятнадцать дней после публичного раскрытия и как побочный продукт деятельности Федерального бюро расследований США (ФБР).
"В середине декабря 2023 года мы наблюдали за этим кластером активности, насчитывающим около 1500 активных ботов", - сказал исследователь безопасности Райан Инглиш. "Когда мы определили размер этого кластера в середине января 2024 года, его численность сократилась примерно до 650 ботов".
Учитывая, что действия по удалению начались с подписанного ордера, выданного 6 декабря 2023 года, справедливо предположить, что ФБР начало передавать команды маршрутизаторам, расположенным в США, примерно в этот день или позже, чтобы стереть полезную нагрузку ботнета и предотвратить их повторное заражение.
"Мы наблюдали, как операторы KV-ботнета начали реструктуризацию, совершив восемь часов работы подряд 8 декабря 2023 года, почти десять часов работы на следующий день, 9 декабря 2023 года, за которыми последовал один час 11 декабря 2023 года", - сказал Lumen в техническом отчете, опубликованном The Hacker News.
В течение этого четырехдневного периода был замечен субъект угрозы, взаимодействующий с 3045 уникальными IP-адресами, которые были связаны с NETGEAR ProSAFEs (2158), Cisco RV 320/325 (310), IP-камерами Axis (29), маршрутизаторами DrayTek Vigor (17) и другими неопознанными устройствами (531).
Также в начале декабря 2023 года наблюдался массовый всплеск попыток использования сервера полезной нагрузки, что указывает на вероятные попытки злоумышленника повторно использовать устройства, поскольку они обнаружили, что их инфраструктура отключена. Lumen заявила, что также предприняла шаги по обнулению другого набора резервных серверов, которые заработали примерно в то же время.
Стоит отметить, что операторы KV-ботнета, как известно, проводят собственную разведку и целеуказание, а также поддерживают несколько групп, таких как Volt Typhoon. Интересно, что временные метки, связанные с эксплуатацией ботов, соотносятся с рабочим временем в Китае.
"Наша телеметрия показывает, что были административные подключения к известным серверам полезной нагрузки с IP-адресов, связанных с China Telecom", - сказал The Hacker News Дэнни Адамитис, главный инженер по информационной безопасности Black Lotus Labs.
Более того, в заявлении Министерства юстиции США ботнет описывается как контролируемый "хакерами, спонсируемыми государством Китайской Народной Республики (КНР)".
Это повышает вероятность того, что ботнет "был создан организацией, поддерживающей хакеров Volt Typhoon; тогда как, если бы ботнет был создан Volt Typhoon, мы подозреваем, что они сказали бы "деятели национального государства"", - добавил Адамитис.
Также есть признаки того, что субъекты угрозы создали третий связанный, но отдельный кластер ботнетов, получивший название x.sh уже в январе 2023 года, состоящий из зараженных маршрутизаторов Cisco, путем развертывания веб-оболочки под названием "fys.sh", как подчеркивалось SecurityScorecard в прошлом месяце.
Но поскольку KV-ботнет является всего лишь "одной из форм инфраструктуры, используемой Volt Typhoon для сокрытия своей деятельности", ожидается, что недавняя волна действий побудит спонсируемых государством субъектов предположительно перейти к другой тайной сети для достижения своих стратегических целей.
"Значительный процент всего сетевого оборудования, используемого по всему миру, функционирует отлично, но больше не поддерживается", - сказал Инглиш. "Конечные пользователи оказываются перед трудным финансовым выбором, когда устройство достигает этой точки, и многие даже не знают, что срок службы маршрутизатора или брандмауэра подходит к концу.
"Продвинутые участники угроз хорошо понимают, что это представляет собой благодатную почву для эксплуатации. Замена неподдерживаемых устройств всегда является лучшим выбором, но не всегда осуществима ".
"Смягчение последствий включает в себя добавление защитниками своих периферийных устройств к длинному списку тех, которые у них уже есть, для исправления и обновления как можно чаще, перезагрузку устройств и настройку решений EDR или SASE, где это применимо, и отслеживание больших объемов передачи данных из сети. Геозона - это не та защита, на которую можно положиться, когда субъект угрозы может перейти из соседней точки."
