16.12.2023 | Новогодний подарок от Volt Typhoon: KV-Botnet атакует глобальную сеть |
Исследователи из Black Lotus Labs компании Lumen обнаружили , что продвинутая ботнет -сеть, известная как KV-Botnet напрямую связана с деятельностью китайской хакерской группировки Volt Typhoon. KV-Botnet — это активный с февраля 2022 года вредоносный ботнет, использующий для атак в основном маломощные устройства категории SOHO . Так, в июле и августе прошлого года в составе ботнета были замечены устройства Cisco RV320, DrayTek Vigor и NETGEAR ProSAFE. К декабрю этого года в фокусе группы оказались IP-камеры Axis, такие как M1045-LW, M1065-LW и p1367-E. Microsoft сообщила, что хакерам Volt Typhoon даже удалось проникнуть в организации критической инфраструктуры США и Гуама, оставаясь незамеченными на протяжении длительного времени. Целью кампании китайских хакеров было создание возможностей для нарушения критической коммуникационной инфраструктуры между США и Азией на случай будущих кризисов. Группа Volt Typhoon активно ведёт кибероперации против критической инфраструктуры разных стран с середины 2021 года, нацеливаясь на организации в сферах связи, производства, энергетики, транспорта, строительства, морского хозяйства, государственного управления, информационных технологий и образования. Для маскировки своей деятельности группа часто использует техники, основанные на использовании ресурсов заражённых устройств, и активное управление заражением для уклонения от обнаружения. Исследователи Black Lotus Labs пришли к выводу, что процесс заражения KV-Botnet является многоступенчатым, однако первоначальный механизм заражения до сих пор не обнаружен. Наблюдаемые изменения в структуре ботнета и начало использования IP-камер перед началом зимы указывают на подготовку к новой кампании. Исследователи предполагают, что это может быть предвестником усиления активности хакеров в праздничный сезон. Отмечается, что киберпреступники продолжат нацеливаться на устаревшие SOHO-устройства для создания скрытой инфраструктуры. Предпочтение отдаётся этим устройствам из-за их повышенной уязвимости и отсутствия ресурсов для обнаружения и анализа вредоносной активности. Исследование подчёркивает, что использование KV-Botnet ограничено действиями, связанными с Китаем, и в основном направлено на стратегические интересы в Индо-Тихоокеанском регионе, включая интернет-провайдеров и государственные организации. |
Проверить безопасность сайта