Operazione del Governo USA contro il Botnet Cinese KV: Centinaia di Router SOHO Neutrazlizzati
Chiuso il KV-Botnet Collegato alla Cina che Mirava ai Router SOHO negli Stati Uniti
Il governo degli Stati Uniti ha annunciato mercoledì di aver preso misure per neutralizzare un botnet composto da centinaia di router SOHO (small office and home office) con sede negli Stati Uniti, dirottati da un attore minaccia sponsorizzato dallo stato cinese chiamato Volt Typhoon, cercando di attenuare l’impatto della campagna di hacking.
L’esistenza del botnet, denominato KV-botnet, è stata resa nota per la prima volta dal team di Black Lotus Labs presso Lumen Technologies a metà dicembre 2023. L’azione delle forze dell’ordine è stata segnalata da Reuters all’inizio di questa settimana.
La stragrande maggioranza dei router che componevano il KV-botnet erano router Cisco e NetGear vulnerabili perché avevano raggiunto lo stato di ‘fine vita’; ovvero, non erano più supportati attraverso patch di sicurezza del produttore o altri aggiornamenti software, ha dichiarato il Dipartimento di Giustizia (DoJ) in un comunicato stampa.
Volt Typhoon (alias DEV-0391, Bronze Silhouette, Insidious Taurus o Vanguard Panda) è il nome attribuito a un collettivo avversario con sede in Cina che è stato attribuito a attacchi informatici contro settori critici dell’infrastruttura negli Stati Uniti e a Guam.
“Gli attori informatici cinesi, incluso un gruppo noto come ‘Volt Typhoon’, si stanno infiltrando nei nostri sistemi di infrastrutture critiche per essere pronti a lanciare attacchi informatici distruttivi in caso di una crisi o conflitto con gli Stati Uniti”, ha dichiarato il direttore di CISA Jen Easterly.
Il gruppo di spionaggio cibernetico, attivo dal 2021, è noto per fare affidamento su strumenti legittimi e tecniche di “living-off-the-land” (LoTL) per sfuggire alla rilevazione e persistere all’interno degli ambienti delle vittime per periodi prolungati al fine di raccogliere informazioni sensibili.
Un altro aspetto importante del suo modus operandi è che cerca di mimetizzarsi nell’attività normale di rete instradando il traffico attraverso apparecchiature di rete SOHO compromesse, tra cui router, firewall e hardware VPN, nel tentativo di oscurare le loro origini.
Ciò viene realizzato mediante il KV-botnet, che prende il controllo di dispositivi di Cisco, DrayTek, Fortinet e NETGEAR per utilizzarli come rete di trasferimento dati segreta per attori minaccia avanzati. Si sospetta che gli operatori del botnet offrano i loro servizi ad altri gruppi di hacker, incluso Volt Typhoon.
Nel gennaio 2024, un rapporto della società di sicurezza informatica SecurityScorecard ha rivelato come il botnet sia stato responsabile della compromissione del 30%, o 325 su 1.116, dei router Cisco RV320/325 a fine vita nel periodo di 37 giorni dal 1 dicembre 2023 al 7 gennaio 2024.
“Volt Typhoon è almeno un utente del KV-botnet e […] questo botnet comprende una sottoinsieme della loro infrastruttura operativa”, ha affermato Lumen Black Lotus Labs, aggiungendo che il botnet “è attivo dalmeno dal febbraio 2022.”
Il botnet è progettato anche per scaricare un modulo di rete privata virtuale (VPN) sui router vulnerabili e configurare un canale di comunicazione crittografato diretto per controllare il botnet e usarlo come nodo di rilancio intermedio per raggiungere i loro obiettivi operativi.
“Una funzione del KV-botnet è quella di trasmettere traffico crittografato tra i router SOHO infetti, consentendo agli hacker di anonimizzare le loro attività (ovvero, gli hacker sembrano operare dai router SOHO, rispetto ai loro computer effettivi in Cina)”, secondo gli affidaviti presentati dal Federal Bureau of Investigation (FBI) degli Stati Uniti.
Nel contesto degli sforzi per interrompere il botnet, l’agenzia ha dichiarato di aver emesso comandi a distanza per mirare ai router negli Stati Uniti utilizzando i protocolli di comunicazione del malware per eliminare il payload del KV-botnet e impedire che venissero reinfectati.
L’FBI ha anche notificato ogni vittima sull’operazione, direttamente o attraverso il loro fornitore di servizi Internet se le informazioni di contatto non erano disponibili.
L’operazione autorizzata dal tribunale ha eliminato il malware KV-botnet dai router e ha intrapreso ulteriori passi per interrompere la loro connessione al botnet, come bloccare le comunicazioni con altri dispositivi utilizzati per controllare il botnet, ha aggiunto il DoJ.
È importante sottolineare che le misure di prevenzione non specificate adottate per rimuovere i router dal botnet sono temporanee e non possono sopravvivere a un riavvio. In altre parole, semplicemente riavviare i dispositivi li renderebbe suscettibili a una reinfezione.
Il malware Volt Typhoon ha permesso alla Cina di nascondere, tra le altre cose, la ricognizione preoperativa e l’exploitazione di rete contro infrastrutture critiche come le nostre comunicazioni, energia, trasporti e settori dell’acqua: passi che la Cina stava compiendo, in altre parole, per trovare e prepararsi a distruggere o degradare l’infrastruttura critica civile che ci tiene al sicuro e prosperi, ha dichiarato il direttore dell’FBI Christopher Wray.
Tuttavia, il governo cinese, in una dichiarazione condivisa con Reuters, ha negato qualsiasi coinvolgimento negli attacchi, definendolo una “campagna di disinformazione e che si è dichiarato categoricamente contrario agli attacchi informatici e all’abuso della tecnologia dell’informazione.
In concomitanza con la chiusura, l’Agenzia per la Sicurezza Informatica e per l’Infrastruttura degli Stati Uniti (CISA) ha pubblicato nuove linee guida exortando i produttori di dispositivi SOHO a adottare un approccio sicuro per progettazione” durante lo sviluppo e spostare il peso lontano dai clienti.
In particolare, raccomanda che i produttori eliminino difetti sfruttabili nelle interfacce di gestione web dei router SOHO e modifichino le configurazioni predefinite dei dispositivi per supportare le capacità di aggiornamento automatico e richiedere una sovrascrittura manuale per rimuovere le impostazioni di sicurezza.