Il gruppo di hacking sponsorizzato dallo stato cinese, noto come Volt Typhoon (Bronze Silhouette), è stato collegato a un sofisticato botnet chiamato ‘KV-botnet’, utilizzato dal 2022 per attaccare router SOHO (Small Office/Home Office) in obiettivi ad alto valore.
Obiettivi e Metodi di Attacco
Volt Typhoon mira comunemente a router, firewall e dispositivi VPN per instradare il traffico malevolo in modo che si mescoli con il traffico legittimo e rimanga non rilevato. Un rapporto congiunto di Microsoft e del governo degli Stati Uniti valuta che gli aggressori stiano costruendo un’infrastruttura che potrebbe essere utilizzata per interrompere le infrastrutture di comunicazione negli USA.
Dettagli Tecnici del KV-Botnet
Il team di Black Lotus Labs presso Lumen Technologies ha rivelato che una campagna di Volt Typhoon ha preso di mira firewall Netgear ProSAFE, router Cisco RV320, router DrayTek Vigor e, più recentemente, telecamere IP Axis. Il botnet ha aumentato significativamente la sua attività da agosto 2023 e poi di nuovo a metà novembre 2023, con gli attacchi più recenti osservati il 5 dicembre 2023.
Impatto e Portata degli Attacchi
La botnet è stata utilizzata in attacchi contro fornitori di servizi di telecomunicazione e Internet, un’entità governativa territoriale degli Stati Uniti a Guam, un’azienda di energia rinnovabile in Europa e organizzazioni militari statunitensi. L’obiettivo del KV-botnet sembra essere lo spionaggio e la raccolta di informazioni, sebbene molti degli attacchi appaiano opportunistici.
Tecniche di Evasione e Persistenza
Per evitare il rilevamento, il bot configura porte casuali per la comunicazione con il server C2 (command and control) e si maschera adottando i nomi di processi esistenti. Inoltre, tutti gli strumenti risiedono in memoria, rendendo il bot difficile da rilevare, anche se questo approccio influisce sulla sua capacità di persistere sui dispositivi compromessi.
Collegamento con l’Operazione Cinese
Black Lotus Labs collega questo botnet a Volt Typhoon dopo aver trovato sovrapposizioni negli indirizzi IP, tattiche simili e orari di lavoro che si allineano con il fuso orario standard della Cina. Le tecniche avanzate di offuscamento e i canali di trasferimento dati occulti osservati negli attacchi KV-botnet, come l’impiego di strati di tunneling, si sovrappongono con le tattiche precedentemente documentate di Volt Typhoon.
Questa botnet rappresenta una minaccia significativa per le infrastrutture di comunicazione e le organizzazioni di alto valore, evidenziando la necessità di una sicurezza informatica rafforzata, specialmente per i dispositivi SOHO.