Le FBI a perturbé le botnet KV utilisé par les pirates informatiques chinois de l’État du typhon Volt pour échapper à la détection lors d’attaques ciblant des infrastructures critiques américaines.
Le groupe de piratage (également connu sous le nom de Bronze Silhouette) l’a utilisé pour détourner des centaines de petits bureaux/bureaux à domicile (SOHO) à travers les États-Unis et les a utilisés pour s’assurer que leur activité malveillante se fond dans le trafic réseau légitime afin d’éviter la détection.
Les appareils compromis et ajoutés à ce botnet comprenaient les routeurs Netgear ProSAFE, Cisco RV320s et DrayTek Vigor, ainsi que les caméras IP Axis, selon l’équipe Black Lotus Labs de Lumen Technologies, qui a d’abord lié le malware au groupe de menaces chinois en décembre.
Un rapport de SecurityScorecard du début du mois estime que les pirates de Volt Typhoon ont pu détourner environ 30% de tous les appareils Cisco RV320/325 en ligne en un peu plus d’un mois.
« Le malware Volt Typhoon a permis à la Chine de cacher, entre autres, la reconnaissance préopérationnelle et l’exploitation du réseau contre des infrastructures critiques telles que nos secteurs des communications, de l’énergie, des transports et de l’eau—des mesures que la Chine prenait, en d’autres termes, pour trouver et se préparer à détruire ou dégrader l’infrastructure critique civile qui nous maintient en sécurité et prospère », a déclaré le directeur du FBI Christopher Wray.
« Donc, en collaboration avec nos partenaires, le FBI a mené une opération autorisée par le tribunal sur le réseau pour arrêter Volt Typhoon et l’accès qu’il permettait. »
L’opération du FBI a commencé le 6 décembre lorsque l’agence d’application de la loi a obtenu pour la première fois une ordonnance du tribunal l’autorisant à démanteler le botnet après avoir piraté son serveur de commande et de contrôle (C2).
Une fois entrés, les agents du FBI ont envoyé des commandes aux appareils compromis pour les couper du botnet et empêcher les pirates chinois de les reconnecter au réseau malveillant.
Ils ont également émis une commande qui a forcé le logiciel malveillant à désinstaller son composant VPN botnet et à empêcher les pirates d’utiliser les appareils pour mener d’autres attaques à travers eux.
« La grande majorité des routeurs qui composaient le botnet KV étaient des routeurs Cisco et NetGear vulnérables car ils avaient atteint le statut de » fin de vie »; c’est-à-dire qu’ils n’étaient plus pris en charge par les correctifs de sécurité de leur fabricant ou d’autres mises à jour logicielles », explique un communiqué de presse du ministère de la Justice.
« L’opération autorisée par le tribunal a supprimé le malware du botnet KV des routeurs et a pris des mesures supplémentaires pour rompre leur connexion au botnet, comme bloquer les communications avec d’autres appareils utilisés pour contrôler le botnet. »
Les fournisseurs invités à sécuriser les routeurs SOHO
Aujourd’hui, la CISA et le FBI ont également publié des directives à l’intention des fabricants de routeurs SOHO, les exhortant à s’assurer qu’ils sont protégés contre les attaques en cours de Volt Typhoon.
Les recommandations incluent l’automatisation des mises à jour de sécurité et l’autorisation d’accéder à leurs interfaces de gestion Web uniquement à partir du réseau local par défaut, ainsi que la suppression des failles de sécurité pendant les phases de conception et de développement.
Un rapport de Microsoft en mai 2023 a révélé que les pirates informatiques de Volt Typhoon ciblaient et violaient les organisations d’infrastructures critiques américaines depuis au moins la mi-2021.
Le réseau de transfert de données secrètes du botnet KV du groupe de piratage a été utilisé dans des attaques ciblant un large éventail d’organisations depuis au moins août 2022, y compris des organisations militaires américaines, des fournisseurs de services de télécommunication et Internet et une entreprise européenne d’énergie renouvelable.
Reuters a rapporté pour la première fois l’opération de perturbation du botnet KV du gouvernement américain lundi.