Le groupe de piratage parrainé par l’État chinois Volt Typhoon a commencé à reconstruire son botnet malveillant « KV-Botnet » après avoir été perturbé par les forces de l’ordre en janvier, selon des chercheurs de SecurityScorecard.
Volt Typhoon est un groupe de menaces de cyberespionnage parrainé par l’État chinois qui aurait infiltré des infrastructures américaines critiques, parmi d’autres réseaux dans le monde entier, depuis au moins cinq ans.
Leur stratégie principale consiste à pirater les routeurs SOHO et les périphériques réseau, tels que les pare-feu Netgear ProSAFE, les routeurs Cisco rv320, les routeurs Draytek Vigor et les caméras IP Axis, pour installer des logiciels malveillants personnalisés qui établissent des canaux de communication et proxy secrets et maintiennent un accès persistant aux réseaux ciblés.
En janvier 2024, les autorités américaines ont annoncé la perturbation du botnet de Volt Typhoon, qui consistait à effacer les logiciels malveillants des routeurs infectés.
Bien que la tentative initiale de relance de Volt Typhoon en février ait échoué, des rapports selon lesquels les acteurs de la menace exploitaient une vulnérabilité zero-day en août indiquaient que le groupe de menaces restait très vivant.
Selon un rapport de SecurityScorecard, Volt Typhoon a commencé à reconstruire son botnet en ciblant les routeurs Cisco et Netgear obsolètes et a compromis un nombre important d’appareils en un peu plus d’un mois.
Ces routeurs sont compromis à l’aide de logiciels malveillants basés sur MIPS et de webshells qui communiquent via des ports non standard, ce qui rend la détection plus difficile.
Volt Typhoon est de retour en action
Le tableau de bord de sécurité indique que, depuis septembre, Volt Typhoon est revenu via un nouveau réseau d’appareils compromis principalement situés en Asie.
Le botnet KV, également surnommé « Botnet JDYFJ » par SecurityScorecard en raison du certificat SSL auto-signé vu dans les appareils compromis, tente de compromettre principalement les appareils Cisco RV320/325 et Netgear ProSAFE series.
Les chercheurs de l’équipe de FRAPPE de SecurityScorecard affirment qu’en seulement 37 jours, Volt Typhoon a compromis environ 30% de tous les périphériques Cisco RV320/325 exposés à Internet. Cependant, on ne sait pas pour le moment comment les appareils sont violés.
« Nous ne savons pas précisément quelle faiblesse ou faille est exploitée. Cependant, les appareils étant en fin de vie, les mises à jour ne sont plus fournies », ont déclaré les chercheurs à Breachtrace.
En outre, les chercheurs ont déclaré à Breachtrace qu’ils n’avaient aucune idée des logiciels malveillants utilisés dans le botnet relancé. Cependant, ils ont noté que certains des mêmes appareils qui avaient été infectés avant la répression ont rejoint à nouveau le cluster.
L’opération principale du botnet KV semble obscurcir les activités malveillantes en acheminant le trafic via l’infrastructure légitime compromise.
Les serveurs de commande du botnet sont enregistrés sur Digital Ocean, Quadranet et Vultr, pour créer un réseau plus diversifié et plus résilient.
Fait intéressant, Volt Typhoon utilise un appareil VPN compromis situé dans l’île pacifique de Nouvelle-Calédonie comme pont qui achemine le trafic entre l’Asie-Pacifique et l’Amérique, agissant comme une plaque tournante furtive.
Commentant ce choix, SecurityScorecard a déclaré à Breachtrace qu’il s’agissait probablement d’une décision géographique des acteurs de la menace.
L’activité observée signifie le retour de Volt Typhoon aux opérations mondiales, et bien que l’ampleur du botnet soit loin des itérations précédentes, les pirates informatiques chinois sont tenus d’aller de l’avant avec une persistance continue.
Pour se protéger contre cette menace, les routeurs plus anciens et non pris en charge doivent être remplacés par des modèles plus récents, placés derrière des pare-feu, l’accès à distance aux panneaux d’administration ne doit pas être exposé à Internet et les informations d’identification du compte administrateur par défaut doivent être modifiées.
Si vous utilisez des routeurs SOHO plus récents, assurez-vous d’installer le dernier micrologiciel dès qu’il est disponible pour corriger les vulnérabilités connues.