Le groupe de piratage APT parrainé par l’État chinois connu sous le nom de Volt Typhoon (Bronze Silhouette) est lié à un botnet sophistiqué nommé « KV-botnet » qu’il utilise depuis au moins 2022 pour attaquer les routeurs SOHO sur des cibles de grande valeur.
Volt Typhoon cible généralement les routeurs, les pare-feu et les périphériques VPN pour proxy le trafic malveillant afin qu’il se mélange au trafic légitime pour ne pas être détecté.
Un rapport conjoint de Microsoft et du gouvernement américain évalue que les attaquants construisent une infrastructure qui peut être utilisée pour perturber l’infrastructure de communication aux États-Unis.
« Microsoft évalue avec une confiance modérée que cette campagne Volt Typhoon poursuit le développement de capacités qui pourraient perturber l’infrastructure de communication critique entre les États-Unis et la région Asie lors de futures crises », prévient Microsoft.
Un rapport détaillé publié aujourd’hui par l’équipe Black Lotus Labs de Lumen Technologies révèle qu’une campagne Volt Typhoon a ciblé les pare-feu Netgear ProSAFE, les Cisco RV320, les routeurs Draytek Vigor et, plus récemment, les caméras IP Axis.
« La campagne infecte les appareils à la périphérie des réseaux, un segment qui est devenu un point faible dans le réseau défensif de nombreuses entreprises, aggravé par le passage au travail à distance ces dernières années », explique Lumen
Le réseau de transfert de données secret construit à l’aide du botnet KV a été utilisé dans des attaques visant des fournisseurs de services de télécommunication et Internet, une entité du gouvernement territorial américain à Guam, une entreprise d’énergie renouvelable en Europe et des organisations militaires américaines.
La portée de ciblage de KV-botnet indique une concentration sur l’espionnage et la collecte d’informations, bien que Black Lotus signale que de nombreuses infections semblent opportunistes.
L’activité du botnet a considérablement augmenté depuis août 2023, puis à nouveau à la mi-novembre 2023. Les dates d’attaque les plus récentes observées sont le 5 décembre 2023, de sorte que l’activité malveillante est en cours.
Détails techniques du botnet KV
Black Lotus a identifié deux groupes d’activités, séparés par » KV » et « JDY ». »Le premier cible des entités de grande valeur et est probablement opéré manuellement, tandis que le second s’engage dans un balayage plus large en utilisant des techniques moins sophistiquées.
Le botnet cible les appareils en fin de vie utilisés par les entités SOHO (small office, home office) qui ne maintiennent pas une position de sécurité solide. Les architectures prises en charge incluent ARM, MIPS, MIPSEL, x86_64, i686, i486 et i386.
Les attaques se sont initialement concentrées sur les routeurs Cisco RV320, DrayTek Vigor et les pare-feu NETGEAR ProSAFE, mais le logiciel malveillant a ensuite été étendu pour cibler également les caméras IP Axis telles que les modèles M1045-LW, M1065-LW et P1367-E.
Volt Typhoon s’engage dans une chaîne d’infection complexe qui implique plusieurs fichiers comme des scripts bash (kv.sh), en arrêtant des processus spécifiques et en supprimant les outils de sécurité exécutés sur l’appareil infecté.
Pour échapper à la détection, le bot met en place des ports aléatoires pour la communication avec le serveur C2 (commande et contrôle) et se déguise en adoptant les noms des processus existants.
De plus, tous les outils résident en mémoire, de sorte que le bot est difficile à détecter, bien que cette approche ait un impact sur sa capacité à persister sur les appareils compromis.
Les commandes que KV-botnet reçoit du C2 concernent la mise à jour des paramètres de communication, l’exfiltration des informations sur l’hôte, la transmission de données, la création de connexions réseau, l’exécution de tâches d’hôte, etc.
« Bien que nous n’ayons découvert aucune fonction prédéfinie dans le binaire d’origine pour permettre le ciblage du réseau LOCAL adjacent, il était possible de générer un shell distant sur le périphérique SOHO », explique Black Lotus dans le rapport.
« Cette capacité aurait pu être utilisée pour exécuter manuellement des commandes ou potentiellement récupérer un module secondaire encore à découvrir pour cibler le réseau LOCAL adjacent. »
Opération chinoise
Black Lotus Labs relie ce botnet à Volt Typhoon après avoir découvert des chevauchements d’adresses IP, des tactiques similaires et des horaires de travail alignés sur l’heure normale de la Chine.
Les techniques avancées d’obscurcissement et les canaux de transfert de données secrets observés dans les attaques de botnet KV, comme l’utilisation de couches de tunneling, se chevauchent avec les tactiques précédemment documentées de Volt Typhoon, tout comme la sélection des cibles et l’intérêt pour des régions et des types d’organisation spécifiques.
En outre, le rapport de Lumen mentionne un déclin suspect des opérations de botnet KV qui a coïncidé avec la divulgation publique des activités de Volt Typhoon par CISA en mai 2023.
Lumen a publié des indicateurs de compromission (IOC) sur GitHub, y compris des hachages de logiciels malveillants et des adresses IP associées au botnet.