Forscher haben ein Internet-of-Things-Botnetz (IoT) entdeckt, das mit Angriffen gegen mehrere US-Regierungs- und Kommunikationsorganisationen in Verbindung steht.
Das „KV-Botnet“, enthüllt in a Bericht von Lumens Black Lotus Labsist darauf ausgelegt, SOHO-Netzwerkgeräte (Small Office Home Office) zu infizieren, die von mindestens vier verschiedenen Anbietern entwickelt wurden. Es verfügt über eine Reihe von Stealth-Mechanismen und die Fähigkeit, sich weiter in lokale Netzwerke (LANs) auszubreiten.
Ein bemerkenswerter Abonnent ist der Volt Typhoon Advanced Persistent Threat (auch bekannt als Bronze Silhouette), der schlagzeilenträchtige chinesische staatsnahe Bedrohungsakteur, der für Angriffe auf kritische Infrastruktur in den USA bekannt ist. Die Plattform scheint daran beteiligt gewesen zu sein zuvor berichtete Volt Typhoon-Kampagnen gegen zwei Telekommunikationsunternehmen, einen Internetdienstanbieter (ISP) und eine US-Regierungsorganisation mit Sitz in Guam. Es stellt jedoch nur einen Teil der Infrastruktur von Volt Typhoon dar und wird mit ziemlicher Sicherheit auch von anderen Bedrohungsakteuren genutzt.
Im KV-Botnetz
Seit mindestens Februar 2022 hat KV-Botnet hauptsächlich SOHO-Router infiziert, darunter die Produktlinien Cisco RV320, DrayTek Vigor und Netgear ProSafe. Ab Mitte November wurde es um die Nutzung von IP-Kameras erweitert, die von Axis Communications entwickelt wurden.
Das von IP-Adressen in China verwaltete Botnetz lässt sich grob in zwei Gruppen einteilen: den „KY“-Cluster, der manuelle Angriffe gegen hochwertige Ziele umfasst, und den „JDY“-Cluster, der umfassendere Angriffe und weniger ausgefeilte Techniken umfasst.
Die meisten KV-Botnet-Infektionen scheinen bisher in die letztere Gruppe zu fallen. Vor diesem Hintergrund ist das Botnetz gegen eine Reihe bisher unbekannter hochkarätiger Organisationen vorgegangen, darunter eine Justizbehörde, einen Satellitennetzwerkanbieter und militärische Einheiten aus den USA sowie ein Unternehmen für erneuerbare Energien mit Sitz in Europa.
Das Programm ist vielleicht am bemerkenswertesten für seine fortschrittliche, vielschichtige Tarnung. Es befindet sich vollständig im Speicher (obwohl dies auf der anderen Seite bedeutet, dass es damit gebootet werden kann). ein einfacher Neustart des Geräts). Es prüft und beendet eine Reihe von Prozessen und Sicherheitstools, die auf dem infizierten Gerät ausgeführt werden, läuft unter dem Namen einer zufälligen Datei, die sich bereits auf dem Gerät befindet, und generiert zufällige Ports für die Command-and-Control-Kommunikation (C2) – alles in einem Bemühen um einer Entdeckung zu entgehen.
Die besten Stealth-Vorteile liegen jedoch in den Geräten, die es überhaupt infiziert.
Der Vorteil eines SOHO-Botnets
Während eines Ausflugs mit der Gruppe im Mai Microsoft-Forscher haben dies zur Kenntnis genommen wie Volt Typhoon seinen gesamten bösartigen Datenverkehr über SOHO-Netzwerk-Edge-Geräte – Firewalls, Router, VPN-Hardware – weiterleitete. Ein Grund könnte darin liegen, dass private Geräte besonders nützlich sind, um böswilligen Datenverkehr zu verbergen, erklärt Jason Casey, CEO von Beyond Identity.
„Der größte Teil des Internets, das Infrastrukturanbietern (AT&T, Amazon AWS, Microsoft usw.) und Unternehmen gewidmet ist, ist bekannt und registriert“, sagt er. „Vor diesem Hintergrund wird erwartet, dass der meiste Datenverkehr von einer Wohnadresse und nicht von einer Infrastruktur- oder Unternehmensadresse ausgehen sollte. Aus diesem Grund kennzeichnen viele Sicherheitstools Datenverkehr als verdächtig, wenn er nicht von einer privaten IP-Adresse stammt.“
Darüber hinaus fügt er hinzu: „Wohngeräte stellen ein relativ risikofreies Betriebsmittel dar, da sie oft nicht sicher konfiguriert sind (z. B. Das Standardpasswort wird nicht geändert) oder regelmäßig aktualisiert werden, was es einfacher macht, Kompromisse einzugehen. Darüber hinaus überwachen Heimverwalter ihre Geräte fast nie und könnten überhaupt nicht nachvollziehen, wie Kompromisse aussehen.“
Die relativ hohe Bandbreite von SOHO-Geräten im Vergleich zu ihrer typischen Arbeitslast bedeutet, dass selbst ein bösartiges Botnetz kaum Auswirkungen hat, die für den durchschnittlichen Benutzer erkennbar sind. Die Lumen-Forscher stellten auch eine Reihe weiterer Vorteile fest, beispielsweise den hohen Anteil ausgedienter Geräte, die jeden Tag noch in einem anfälligen Zustand betrieben werden, und die Art und Weise, wie solche Geräte es Angreifern ermöglichen, Geofencing-Beschränkungen zu umgehen.
Keine Funktion innerhalb der KV-Botnet-Binärdatei ist darauf ausgelegt, weitere Infektionen in den größeren lokalen Netzwerken (LANs) der Ziele zu verursachen. Die Forscher stellten jedoch fest, dass das Botnetz es Angreifern ermöglicht, eine Reverse-Shell auf infizierten Geräten bereitzustellen und so den Weg für die Ausführung willkürlicher Befehle und Codes zu ebnen oder weitere Malware für Angriffe auf das LAN abzurufen.
„Angesichts der Tatsache, dass diese Geräte leichter zu kompromittieren sind, schwerer zu filtern sind und weniger wahrscheinlich überwacht oder untersucht werden, stellen sie für einen Bedrohungsakteur einen erstklassigen Vorteil dar“, schließt Casey.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud-security/volt-typhoon-soho-botnet-infects-us-govt-entities
