L’FBI ha recentemente interrotto l’operatività del KV Botnet, utilizzato dagli hacker cinesi del gruppo Volt Typhoon per eludere il rilevamento durante gli attacchi contro le infrastrutture critiche statunitensi. Questo gruppo di hacking, noto anche come Bronze Silhouette, ha sfruttato centinaia di router per uffici domestici e piccoli uffici (SOHO) negli Stati Uniti, mescolando le loro attività dannose al traffico di rete legittimo per evitare di essere scoperti.
Tra i dispositivi compromessi e aggiunti a questo botnet figurano i router Netgear ProSAFE, Cisco RV320s, DrayTek Vigor, nonché le telecamere IP Axis, come identificato dal team di Black Lotus Labs di Lumen Technologies, che per primo ha collegato il malware al gruppo di minacce cinese nel dicembre scorso.
Un rapporto di SecurityScorecard di questo mese stima che gli hacker di Volt Typhoon siano stati in grado di dirottare circa il 30% di tutti i dispositivi Cisco RV320/325 online in poco più di un mese. “Il malware Volt Typhoon ha permesso alla Cina di nascondere, tra le altre cose, attività di ricognizione pre-operativa e sfruttamento di rete contro infrastrutture critiche come comunicazioni, energia, trasporti e settori idrici”, ha dichiarato il direttore dell’FBI Christopher Wray.
L’operazione dell’FBI è iniziata il 6 dicembre, quando l’agenzia ha ottenuto un ordine del tribunale che la autorizzava a smantellare il botnet dopo aver hackerato il suo server di comando e controllo (C2). Una volta all’interno, gli agenti dell’FBI hanno inviato comandi ai dispositivi compromessi per disconnetterli dal botnet e impedire agli hacker cinesi di ricollegarli alla rete dannosa.
Hanno inoltre emesso un comando che ha forzato la disinstallazione del componente VPN del botnet malware e bloccato gli hacker dall’utilizzare i dispositivi per condurre ulteriori attacchi tramite di essi. “La stragrande maggioranza dei router che componevano il KV Botnet erano router Cisco e NetGear vulnerabili perché avevano raggiunto lo stato di ‘fine vita’, ovvero non erano più supportati attraverso patch di sicurezza o altri aggiornamenti software dal produttore”, spiega un comunicato stampa del Dipartimento di Giustizia.
L’operazione autorizzata dal tribunale ha eliminato il malware KV Botnet dai router e ha preso ulteriori misure per interrompere la loro connessione al botnet, come il blocco delle comunicazioni con altri dispositivi utilizzati per controllare il botnet.