Botnet KV: Attacchi Silenziosi a Cisco, DrayTek e Fortinet con Routers e Firewall
Un nuovo botnet denominato KV ha destato preoccupazione nell’ambito della sicurezza informatica, utilizzando firewalls e routers di Cisco, DrayTek, Fortinet e NETGEAR per trasferimenti dati clandestini.
Questo nuovo insieme di dispositivi compromessi è diventato una rete segreta per attori minacciosi avanzati, tra cui la minaccia conosciuta come Volt Typhoon, presumibilmente collegata alla Cina.
Il team Black Lotus Labs di Lumen Technologies ha battezzato questa rete malevola KV-botnet, individuando due cluster di attività complementari attivi almeno dal febbraio 2022.
Questi due cluster, identificati come KY e JDY, agiscono in modo distinto ma coordinato, infiltrando i dispositivi per facilitare l’accesso a vittime di alto profilo e stabilire una rete segreta.
Le informazioni di telemetria indicano che il controllo del botnet avviene attraverso indirizzi IP in Cina.
Mentre i bot del JDY si dedicano a una scansione più ampia con tecniche meno sofisticate, il componente KY, con prodotti obsoleti e fuori produzione, è utilizzato per operazioni manuali contro bersagli di alto profilo.
Si sospetta che Volt Typhoon sia uno degli utenti del KV-botnet, poiché il declino delle operazioni ha coinciso con la divulgazione pubblica delle attività avverse mirate all’infrastruttura critica negli Stati Uniti.
Microsoft ha dichiarato che il botnet cerca di mimetizzarsi instradando il traffico attraverso attrezzature di rete SOHO compromesse, come router, firewall e hardware VPN.
Il meccanismo esatto di infezione iniziale è sconosciuto, ma una volta compromessi, il malware si sforza di rimuovere programmi di sicurezza e altre varianti per garantire la sua presenza esclusiva sulle macchine.
Progettato per recuperare un carico utile da un server remoto, il malware può caricare e scaricare file, eseguire comandi e moduli aggiuntivi.
Recentemente, il botnet ha puntato le sue attenzioni alle telecamere IP Axis, suggerendo un’ulteriore ondata di attacchi imminenti.
Un aspetto intrigante è che tutti gli strumenti del botnet sembrano risiedere completamente in memoria, rendendo difficile la rilevazione a lungo termine.
Tuttavia, riavviare il dispositivo può interrompere l’infezione, anche se il rischio di reinfezione permane.
La preoccupazione cresce dopo il rapporto del Washington Post, che riporta l’infiltrazione di due dozzine di entità critiche negli Stati Uniti da parte di Volt Typhoon, incluso l’attacco ai servizi pubblici di energia, acqua, comunicazioni e trasporti.
Il gruppo di hacker ha tentato di mascherare le loro azioni utilizzando dispositivi comuni come router domestici o da ufficio prima di colpire le vittime.
La complessità e la portata di questa minaccia sottolineano l’importanza di una protezione avanzata e di una costante vigilanza nell’ambito della sicurezza informatica per difendersi da attacchi futuri di questo genere.