Onderzoekers hebben een Internet of Things (IoT)-botnet ontdekt dat verband houdt met aanvallen op meerdere Amerikaanse overheids- en communicatieorganisaties.
Het ‘KV-Botnet’, onthuld in een rapport van Lumen's Black Lotus Labs, is ontworpen om netwerkapparaten voor kleine kantoren, thuiskantoren (SOHO) te infecteren die zijn ontwikkeld door ten minste vier verschillende leveranciers. Het wordt geleverd met een reeks stealth-mechanismen en de mogelijkheid om zich verder te verspreiden naar lokale netwerken (LAN's).
Een opmerkelijke abonnee is de geavanceerde aanhoudende dreiging van Volt Typhoon (ook bekend als Bronze Silhouette), de Chinese staatsgelieerde bedreigingsacteur die de krantenkoppen haalt en bekend staat om zijn aanvallen op kritieke Amerikaanse infrastructuur. Het platform lijkt erbij betrokken te zijn eerder gerapporteerde Volt Typhoon-campagnes tegen twee telecommunicatiebedrijven, een internetprovider (ISP) en een Amerikaanse overheidsorganisatie gevestigd in Guam. Het vertegenwoordigt echter slechts een deel van de infrastructuur van Volt Typhoon, en er zijn vrijwel zeker ook andere bedreigingsactoren die er gebruik van maken.
Binnen het KV-Botnet
Sinds minstens februari 2022 heeft KV-Botnet voornamelijk SOHO-routers geïnfecteerd, waaronder de productlijnen Cisco RV320, DrayTek Vigor en Netgear ProSafe. Vanaf half november breidde het zich uit met de exploitatie van IP-camera's die waren ontwikkeld door Axis Communications.
Het botnet wordt beheerd vanuit IP-adressen in China en kan grofweg in twee groepen worden opgesplitst: het ‘KY’-cluster, dat handmatige aanvallen op waardevolle doelen omvat, en het ‘JDY’-cluster, dat bredere targeting en minder geavanceerde technieken omvat.
De meeste KV-Botnet-infecties lijken tot nu toe in het laatste cluster te vallen. Dat gezegd hebbende, heeft het botnet de strijd aangebonden met een aantal voorheen niet bekendgemaakte organisaties met een hoog profiel, waaronder een gerechtelijke instelling, een aanbieder van satellietnetwerken en militaire entiteiten uit de VS, evenals een bedrijf voor hernieuwbare energie gevestigd in Europa.
Het programma valt misschien wel het meest op vanwege zijn geavanceerde, gelaagde stealth. Het bevindt zich volledig in het geheugen (hoewel dit aan de andere kant betekent dat er mee kan worden opgestart een eenvoudige herstart van het apparaat). Het controleert en beëindigt een reeks processen en beveiligingshulpmiddelen die op het geïnfecteerde apparaat draaien, draait onder de naam van een willekeurig bestand dat al op het apparaat staat, en genereert willekeurige poorten voor command-and-control (C2)-communicatie, allemaal in een poging om detectie te voorkomen.
De beste stealth-voordelen zijn echter inherent aan de apparaten die het infecteert.
Het voordeel van een SOHO-botnet
Tijdens een uitje met de groep in mei, Microsoft-onderzoekers merkten dit op van hoe Volt Typhoon al zijn kwaadaardige verkeer via de edge-apparaten van SOHO-netwerken stuurde: firewalls, routers, VPN-hardware. Eén reden zou kunnen zijn dat apparaten in woningen bijzonder nuttig zijn voor het verbergen van kwaadaardig verkeer, legt Jasson Casey, CEO van Beyond Identity, uit.
“Het grootste deel van het internet dat bestemd is voor infrastructuuraanbieders (AT&T, Amazon AWS, Microsoft, etc.) en ondernemingen is bekend en geregistreerd”, zegt hij. “Gezien dit gegeven wordt verwacht dat het meeste verkeer afkomstig moet zijn van een woonadres, en niet van een infrastructuur- of bedrijfsadres. Hierdoor zullen veel beveiligingstools verkeer als verdacht markeren als het niet afkomstig is van een residentieel IP-adres.”
Daarnaast, zo voegt hij eraan toe, “vertegenwoordigt woonapparatuur een relatief risicovrij bezit om mee te werken, omdat deze vaak niet veilig is geconfigureerd (bijv. het standaardwachtwoord niet wijzigen) of regelmatig bijgewerkt, waardoor het gemakkelijker wordt om compromissen te sluiten. Bovendien houden thuisbeheerders bijna nooit toezicht op hun apparatuur, of kunnen ze zelfs maar begrijpen hoe een compromis eruit ziet.”
De relatief hoge bandbreedte van SOHO-apparatuur, vergeleken met hun typische werklast, betekent dat zelfs een kwaadaardig botnet weinig impact heeft die waarneembaar is voor de gemiddelde gebruiker. De Lumen-onderzoekers merkten ook een aantal andere voordelen op, zoals het hoge percentage afgedankte apparaten dat nog steeds elke dag in een kwetsbare staat functioneert, en de manier waarop dergelijke apparaten aanvallers in staat stellen geofencing-beperkingen te omzeilen.
Geen enkele functie binnen het binaire KV-Botnet-bestand is ontworpen om verdere infecties te veroorzaken in de bredere lokale netwerken (LAN's) van de doelen. De onderzoekers merkten echter op dat het botnet aanvallers in staat stelt een omgekeerde shell op geïnfecteerde apparaten in te zetten, waardoor de weg wordt vrijgemaakt voor willekeurige opdrachten en code-uitvoering, of om verdere malware op te halen voor aanvallen op het LAN.
“Gezien het feit dat deze apparaten gemakkelijker te compromitteren zijn, moeilijker te filteren en minder snel gemonitord of onderzocht worden, vormen ze een belangrijke troef om als dreigingsactor te opereren”, besluit Casey.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cloud-security/volt-typhoon-soho-botnet-infects-us-govt-entities
