Los actores de amenazas detrás del botnet KV realizó «cambios de comportamiento» en la red maliciosa cuando las fuerzas del orden estadounidenses comenzaron a emitir comandos para neutralizar la actividad.
KV-botnet es el nombre que se le da a una red de enrutadores y dispositivos de firewall para pequeñas oficinas y oficinas domésticas (SOHO) en todo el mundo, con un clúster específico que actúa como un sistema encubierto de transferencia de datos para otros actores patrocinados por el estado chino, incluido Volt Typhoon. (también conocido como Silueta de Bronce, Insidious Taurus o Vanguard Panda).
Activo desde al menos febrero de 2022, fue documentado por primera vez por el equipo de Black Lotus Labs en Lumen Technologies a mediados de diciembre de 2023. Se sabe que la botnet comprende dos subgrupos principales, a saber. KV y JDY, este último utilizado principalmente para escanear objetivos potenciales para reconocimiento.
A fines del mes pasado, el gobierno de EE. UU. anunció un esfuerzo de interrupción autorizado por el tribunal para derribar el clúster KV, que generalmente está reservado para operaciones manuales contra objetivos de alto perfil elegidos después de un escaneo más amplio a través del subgrupo JDY.
Ahora, según nuevos hallazgos de la empresa de ciberseguridad, el grupo JDY permaneció en silencio durante aproximadamente quince días después de su divulgación pública y como subproducto de la iniciativa de la Oficina Federal de Investigaciones (FBI) de EE. UU.
«A mediados de diciembre de 2023, observamos este grupo de actividad que rondaba los 1.500 bots activos», dijo el investigador de seguridad Ryan English. «Cuando tomamos una muestra del tamaño de este grupo a mediados de enero de 2024, su tamaño se redujo a aproximadamente 650 robots».
Dado que las acciones de eliminación comenzaron con una orden firmada emitida el 6 de diciembre de 2023, es justo suponer que el FBI comenzó a transmitir comandos a enrutadores ubicados en los EE. UU. en algún momento en esa fecha o después para borrar la carga útil de la botnet y evitar que volvieran a ser utilizados. -infectado.
«Observamos que los operadores de botnet KV comenzaron a reestructurarse, realizando ocho horas seguidas de actividad el 8 de diciembre de 2023, casi diez horas de operaciones el día siguiente, el 9 de diciembre de 2023, seguidas de una hora el 11 de diciembre de 2023», Lumen dicho en un informe técnico compartido con The Hacker News.
Durante este período de cuatro días, se vio al actor de amenazas interactuando con 3045 direcciones IP únicas asociadas con NETGEAR ProSAFE (2158), Cisco RV 320/325 (310), cámaras IP Axis (29) y enrutadores DrayTek Vigor (17). y otros dispositivos no identificados (531).
También se observó a principios de diciembre de 2023 un aumento masivo en los intentos de explotación del servidor de carga útil, lo que indica los probables intentos del adversario de volver a explotar los dispositivos cuando detectaron que su infraestructura se desconectaba. Lumen dijo que también tomó medidas para anular la ruta de otro conjunto de servidores de respaldo que comenzaron a funcionar aproximadamente al mismo tiempo.
Vale la pena señalar que se sabe que los operadores de la botnet KV realizan su propio reconocimiento y selección de objetivos y, al mismo tiempo, apoyan a múltiples grupos como Volt Typhoon. Curiosamente, las marcas de tiempo asociadas con la explotación de los bots se correlacionan con las horas de trabajo en China.
«Nuestra telemetría indica que hubo conexiones administrativas en los servidores de carga útil conocidos desde direcciones IP asociadas con China Telecom», dijo a The Hacker News Danny Adamitis, ingeniero principal de seguridad de la información en Black Lotus Labs.
Es más, el comunicado del Departamento de Justicia de EE.UU. descrito la botnet está controlada por «hackers patrocinados por el estado de la República Popular China (RPC)».
Esto plantea la posibilidad de que la botnet «fue creada por una organización que apoya a los hackers del Volt Typhoon; mientras que si la botnet fue creada por Volt Typhoon, sospechamos que habrían dicho actores ‘estado-nación'», añadió Adamitis.
También hay indicios de que los actores de amenazas establecieron un tercer clúster de botnet relacionado pero distinto, denominado x.sh, ya en enero de 2023, que está compuesto por enrutadores Cisco infectados mediante la implementación de un shell web llamado «fys.sh», como lo destacó SecurityScorecard la última vez. mes.
Pero dado que la botnet KV es sólo «una forma de infraestructura utilizada por Volt Typhoon para ofuscar su actividad», se espera que la reciente ola de acciones impulse a los actores patrocinados por el estado a presumiblemente hacer una transición a otra red encubierta para cumplir con sus objetivos estratégicos. objetivos.
«Un porcentaje significativo de todos los equipos de red utilizados en todo el mundo funciona perfectamente bien, pero ya no cuenta con soporte», dijo English. «Los usuarios finales tienen una elección financiera difícil cuando un dispositivo llega a ese punto, y muchos ni siquiera son conscientes de que un enrutador o firewall está al final de su vida útil.
«Los actores de amenazas avanzadas son muy conscientes de que esto representa un terreno fértil para la explotación. Reemplazar los dispositivos no compatibles es siempre la mejor opción, pero no siempre es factible».
«La mitigación implica que los defensores agreguen sus dispositivos periféricos a la larga lista de aquellos que ya tienen que parchear y actualizar con la mayor frecuencia posible, reiniciar los dispositivos y configurar soluciones EDR o SASE cuando corresponda, y vigilar las grandes transferencias de datos fuera de la red. La geocerca no es una defensa en la que confiar, cuando el actor de la amenaza puede saltar desde un punto cercano».