Après le retrait du FBI, les opérateurs de KV-Botnet changent de tactique pour tenter de rebondir


Les acteurs menaçants derrière le Botnet KV apporté des « changements de comportement » au réseau malveillant alors que les forces de l’ordre américaines commençaient à émettre des commandes pour neutraliser l’activité.

KV-botnet est le nom donné à un réseau de routeurs et de pare-feu pour petites entreprises et bureaux à domicile (SOHO) compromis à travers le monde, avec un cluster spécifique agissant comme un système de transfert de données secret pour d’autres acteurs parrainés par l’État chinois, y compris Volt Typhoon. (alias Bronze Silhouette, Insidious Taurus ou Vanguard Panda).

Actif depuis au moins février 2022, il a été documenté pour la première fois par l’équipe Black Lotus Labs de Lumen Technologies à la mi-décembre 2023. Le botnet est connu pour comprendre deux sous-groupes principaux, à savoir. KV et JDY, ce dernier étant principalement utilisé pour scanner des cibles potentielles à des fins de reconnaissance.

À la fin du mois dernier, le gouvernement américain a annoncé un effort de perturbation autorisé par le tribunal pour supprimer le cluster KV, qui est généralement réservé aux opérations manuelles contre des cibles de haut niveau choisies après une analyse plus large via le sous-groupe JDY.

La cyber-sécurité

Désormais, selon de nouvelles découvertes de la société de cybersécurité, le cluster JDY est resté silencieux pendant environ quinze jours après sa divulgation publique et en tant que sous-produit de l’entreprise du Federal Bureau of Investigation (FBI) des États-Unis.

« À la mi-décembre 2023, nous avons observé ce cluster d’activité tournant autour de 1 500 robots actifs », a déclaré le chercheur en sécurité Ryan English. « Lorsque nous avons échantillonné la taille de ce cluster à la mi-janvier 2024, sa taille est tombée à environ 650 robots. »

Étant donné que les mesures de retrait ont commencé avec un mandat signé émis le 6 décembre 2023, il est juste de supposer que le FBI a commencé à transmettre des commandes aux routeurs situés aux États-Unis à compter de cette date pour effacer la charge utile du botnet et empêcher leur réutilisation. -infecté.

« Nous avons observé que les opérateurs de réseaux de zombies KV commencent à se restructurer, engageant huit heures d’activité consécutives le 8 décembre 2023, près de dix heures d’activité le lendemain, le 9 décembre 2023, suivies d’une heure le 11 décembre 2023 », Lumen dit dans un rapport technique partagé avec The Hacker News.

Au cours de cette période de quatre jours, l’auteur de la menace a été repéré en train d’interagir avec 3 045 adresses IP uniques associées aux NETGEAR ProSAFE (2 158), aux Cisco RV 320/325 (310), aux caméras IP Axis (29) et aux routeurs DrayTek Vigor (17). , et d’autres appareils non identifiés (531).

Début décembre 2023, une augmentation massive des tentatives d’exploitation du serveur de charge utile a également été observée, indiquant les tentatives probables de l’adversaire de réexploiter les appareils lorsqu’il a détecté que son infrastructure était hors ligne. Lumen a déclaré avoir également pris des mesures pour supprimer un autre ensemble de serveurs de sauvegarde devenus opérationnels à peu près au même moment.

Botnet KV chinois

Il convient de noter que les opérateurs du botnet KV sont connus pour effectuer leurs propres reconnaissances et ciblage tout en soutenant plusieurs groupes comme Volt Typhoon. Il est intéressant de noter que les horodatages associés à l’exploitation des robots correspondent aux heures de travail en Chine.

« Notre télémétrie indique qu’il y avait des connexions administratives aux serveurs de données utiles connus à partir d’adresses IP associées à China Telecom », a déclaré Danny Adamitis, ingénieur principal en sécurité de l’information chez Black Lotus Labs, à The Hacker News.

Botnet KV chinois

De plus, la déclaration du ministère américain de la Justice décrit le botnet est contrôlé par des « pirates informatiques parrainés par l’État de la République populaire de Chine (RPC). »

Cela soulève la possibilité que le botnet « ait été créé par une organisation soutenant les pirates informatiques de Volt Typhoon ; alors que si le botnet avait été créé par Volt Typhoon, nous soupçonnons qu’ils auraient parlé d’acteurs « d’État-nation » », a ajouté Adamitis.

Certains signes indiquent également que les auteurs de la menace ont créé dès janvier 2023 un troisième cluster de botnets apparenté mais distinct, baptisé x.sh, composé de routeurs Cisco infectés en déployant un shell Web nommé « fys.sh », comme l’a souligné SecurityScorecard en dernier lieu. mois.

La cyber-sécurité

Mais comme le botnet KV n’est qu’« une forme d’infrastructure utilisée par Volt Typhoon pour dissimuler son activité », on s’attend à ce que la récente vague d’actions incite les acteurs parrainés par l’État à probablement passer à un autre réseau secret afin de répondre à leurs objectifs stratégiques. objectifs.

« Un pourcentage important de tous les équipements réseau utilisés dans le monde fonctionnent parfaitement bien, mais ne sont plus pris en charge », a déclaré English. « Les utilisateurs finaux ont un choix financier difficile lorsqu’un appareil atteint ce point, et beaucoup ne savent même pas qu’un routeur ou un pare-feu a atteint la fin de sa durée de vie.

« Les auteurs de menaces avancées sont bien conscients que cela représente un terrain fertile pour l’exploitation. Remplacer les appareils non pris en charge est toujours le meilleur choix, mais ce n’est pas toujours réalisable. »

« L’atténuation implique que les défenseurs ajoutent leurs appareils de pointe à la longue liste de ceux qu’ils doivent déjà corriger et mettre à jour aussi souvent que possible, redémarrent les appareils et configurent les solutions EDR ou SASE le cas échéant, et gardent un œil sur les transferts de données volumineux hors du réseau. Le géorepérage n’est pas une défense sur laquelle s’appuyer lorsque l’acteur menaçant peut sauter depuis un point proche. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57