Le gouvernement américain a déclaré mercredi qu’il avait pris des mesures pour neutraliser un botnet comprenant des centaines de routeurs de petites entreprises et de bureaux à domicile (SOHO) basés aux États-Unis, piratés par un acteur malveillant parrainé par l’État et lié à la Chine, appelé Volt Typhoon, et atténuer l’impact du piratage. campagne.
L’existence du botnet, baptisé Botnet KVa été divulgué pour la première fois par l’équipe Black Lotus Labs de Lumen Technologies à la mi-décembre 2023. Les efforts d’application de la loi ont été signalé par Reuters plus tôt cette semaine.
« La grande majorité des routeurs qui composaient le botnet KV étaient des routeurs Cisco et NetGear qui étaient vulnérables car ils avaient atteint le statut « en fin de vie » ; c’est-à-dire qu’ils n’étaient plus pris en charge par les correctifs de sécurité de leur fabricant ou d’autres mises à jour logicielles. » le ministère de la Justice (DoJ) dit dans un communiqué de presse.
Volt Typhoon (alias DEV-0391, Bronze Silhouette, Insidious Taurus ou Vanguard Panda) est le surnom attribué à un collectif accusateur basé en Chine qui a été attribué à des cyberattaques ciblant des secteurs d’infrastructures critiques aux États-Unis et à Guam.
« Les cyberacteurs chinois, notamment un groupe connu sous le nom de « Volt Typhoon », s’enfouissent profondément dans nos infrastructures critiques pour être prêts à lancer des cyberattaques destructrices en cas de crise majeure ou de conflit avec les États-Unis », a déclaré Jen Easterly, directrice de la CISA. noté.
Le groupe de cyberespionnage, soupçonné d’être actif depuis 2021, est connu pour son recours à des outils légitimes et à des techniques de vie hors du territoire (LotL) pour passer inaperçu et persister dans les environnements des victimes pendant de longues périodes afin de recueillir des informations sensibles. information.
Un autre aspect important de son mode opératoire est qu’il tente de se fondre dans l’activité normale du réseau en acheminant le trafic via des équipements réseau SOHO compromis, notamment des routeurs, des pare-feu et du matériel VPN, dans le but d’obscurcir leurs origines.
Ceci est accompli grâce au botnet KV, qui réquisitionne les appareils de Cisco, DrayTek, Fortinet et NETGEAR pour les utiliser comme réseau de transfert de données secret pour les acteurs de menaces persistantes avancées. On soupçonne que les opérateurs de botnet proposent leurs services à d’autres groupes de piratage, dont Volt Typhoon.
En janvier 2024, un rapport de la société de cybersécurité SecurityScorecard a révélé comment le botnet avait compromis jusqu’à 30 % – soit 325 sur 1 116 – des routeurs Cisco RV320/325 en fin de vie sur une période de 37 jours à compter du 1er décembre. , 2023, au 7 janvier 2024.
« Volt Typhoon est au moins un utilisateur du botnet KV et […] ce botnet englobe un sous-ensemble de leur infrastructure opérationnelle », a déclaré Lumen Black Lotus Labs, ajoutant que le botnet « est actif depuis au moins février 2022 ».
Le botnet est également conçu pour télécharger un module de réseau privé virtuel (VPN) sur les routeurs vulnérables et mettre en place un canal de communication crypté direct pour contrôler le botnet et l’utiliser comme nœud de relais intermédiaire pour atteindre ses objectifs opérationnels.
« L’une des fonctions du botnet KV est de transmettre du trafic crypté entre les routeurs SOHO infectés, permettant aux pirates d’anonymiser leurs activités (c’est-à-dire que les pirates semblent opérer à partir des routeurs SOHO, plutôt que de leurs ordinateurs réels en Chine) », selon aux affidavits déposés par le Federal Bureau of Investigation (FBI) des États-Unis.
Dans le cadre de ses efforts visant à perturber le botnet, l’agence a déclaré avoir émis des commandes à distance pour cibler les routeurs aux États-Unis en utilisant les protocoles de communication du malware afin de supprimer la charge utile du botnet KV et d’empêcher leur réinfection. Le FBI a déclaré avoir également informé chaque victime de l’opération, soit directement, soit via son fournisseur d’accès Internet si ses coordonnées n’étaient pas disponibles.
« L’opération autorisée par le tribunal a supprimé le malware KV-botnet des routeurs et a pris des mesures supplémentaires pour rompre leur connexion au botnet, comme le blocage des communications avec d’autres appareils utilisés pour contrôler le botnet », a ajouté le DoJ.
Il est important de souligner ici que les mesures de prévention non spécifiées utilisées pour supprimer les routeurs du botnet sont temporaires et ne peuvent pas survivre à un redémarrage. En d’autres termes, le simple redémarrage des appareils les rendrait susceptibles d’être réinfectés.
« Le malware Volt Typhoon a permis à la Chine de dissimuler, entre autres choses, des opérations de reconnaissance pré-opérationnelles et d’exploitation de réseaux contre des infrastructures critiques telles que nos secteurs des communications, de l’énergie, des transports et de l’eau – des mesures que la Chine prenait, en d’autres termes, pour trouver et se préparer à détruire ou dégrader les infrastructures civiles critiques qui assurent notre sécurité et notre prospérité », a déclaré le directeur du FBI, Christopher Wray. dit.
Cependant, le gouvernement chinois, dans un déclaration partagé avec Reuters, a nié toute implication dans les attaques, les qualifiant de « campagne de désinformation » et affirmant qu’il « s’était catégoriquement opposé aux attaques de piratage informatique et à l’abus des technologies de l’information ».
Coïncidant avec le retrait, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a publié de nouvelles directives exhortant les fabricants d’appareils SOHO à adopter une approche sécurisée dès la conception pendant le développement et déplacer le fardeau des clients.
Plus précisément, il recommande aux fabricants d’éliminer les défauts exploitables dans les interfaces de gestion Web des routeurs SOHO et de modifier les configurations par défaut des périphériques pour prendre en charge les capacités de mise à jour automatique et d’exiger une substitution manuelle pour supprimer les paramètres de sécurité.
La compromission des appareils de pointe tels que les routeurs destinés à être utilisés dans des attaques persistantes avancées organisées par la Russie et la Chine met en évidence un problème croissant qui est aggravé par le fait que les appareils existants ne reçoivent plus de correctifs de sécurité et ne prennent pas en charge les solutions de détection et de réponse des points finaux (EDR).
« La création de produits dépourvus de contrôles de sécurité appropriés est inacceptable compte tenu de l’environnement de menace actuel », a déclaré CISA. dit. « Ce cas illustre comment un manque de pratiques sécurisées dès la conception peut entraîner des dommages réels à la fois aux clients et, dans ce cas, à l’infrastructure critique de notre pays. »