{"id":1137911,"date":"2024-02-07T16:11:29","date_gmt":"2024-02-07T18:11:29","guid":{"rendered":"https:\/\/teknomers.com\/fr\/apres-le-retrait-du-fbi-les-operateurs-de-kv-botnet-changent-de-tactique-pour-tenter-de-rebondir\/"},"modified":"2024-02-07T16:11:34","modified_gmt":"2024-02-07T18:11:34","slug":"apres-le-retrait-du-fbi-les-operateurs-de-kv-botnet-changent-de-tactique-pour-tenter-de-rebondir","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/apres-le-retrait-du-fbi-les-operateurs-de-kv-botnet-changent-de-tactique-pour-tenter-de-rebondir\/","title":{"rendered":"Apr\u00e8s le retrait du FBI, les op\u00e9rateurs de KV-Botnet changent de tactique pour tenter de rebondir"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Les acteurs mena\u00e7ants derri\u00e8re le <strong>Botnet KV<\/strong> apport\u00e9 des \u00ab changements de comportement \u00bb au r\u00e9seau malveillant alors que les forces de l&#8217;ordre am\u00e9ricaines commen\u00e7aient \u00e0 \u00e9mettre des commandes pour neutraliser l&#8217;activit\u00e9.<\/p>\n<p>KV-botnet est le nom donn\u00e9 \u00e0 un r\u00e9seau de routeurs et de pare-feu pour petites entreprises et bureaux \u00e0 domicile (SOHO) compromis \u00e0 travers le monde, avec un cluster sp\u00e9cifique agissant comme un syst\u00e8me de transfert de donn\u00e9es secret pour d&#8217;autres acteurs parrain\u00e9s par l&#8217;\u00c9tat chinois, y compris Volt Typhoon. (alias Bronze Silhouette, Insidious Taurus ou Vanguard Panda).<\/p>\n<p>Actif depuis au moins f\u00e9vrier 2022, il a \u00e9t\u00e9 document\u00e9 pour la premi\u00e8re fois par l&#8217;\u00e9quipe Black Lotus Labs de Lumen Technologies \u00e0 la mi-d\u00e9cembre 2023. Le botnet est connu pour comprendre deux sous-groupes principaux, \u00e0 savoir.  KV et JDY, ce dernier \u00e9tant principalement utilis\u00e9 pour scanner des cibles potentielles \u00e0 des fins de reconnaissance.<\/p>\n<p>\u00c0 la fin du mois dernier, le gouvernement am\u00e9ricain a annonc\u00e9 un effort de perturbation autoris\u00e9 par le tribunal pour supprimer le cluster KV, qui est g\u00e9n\u00e9ralement r\u00e9serv\u00e9 aux op\u00e9rations manuelles contre des cibles de haut niveau choisies apr\u00e8s une analyse plus large via le sous-groupe JDY.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tl_d1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/01\/Les-attaques-DDoS-contre-le-secteur-des-services-environnementaux-augmentent.gif\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>D\u00e9sormais, selon de nouvelles d\u00e9couvertes de la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, le cluster JDY est rest\u00e9 silencieux pendant environ quinze jours apr\u00e8s sa divulgation publique et en tant que sous-produit de l&#8217;entreprise du Federal Bureau of Investigation (FBI) des \u00c9tats-Unis.<\/p>\n<p>&#8220;\u00c0 la mi-d\u00e9cembre 2023, nous avons observ\u00e9 ce cluster d&#8217;activit\u00e9 tournant autour de 1 500 robots actifs&#8221;, a d\u00e9clar\u00e9 le chercheur en s\u00e9curit\u00e9 Ryan English.  &#8220;Lorsque nous avons \u00e9chantillonn\u00e9 la taille de ce cluster \u00e0 la mi-janvier 2024, sa taille est tomb\u00e9e \u00e0 environ 650 robots.&#8221;<\/p>\n<p>\u00c9tant donn\u00e9 que les mesures de retrait ont commenc\u00e9 avec un mandat sign\u00e9 \u00e9mis le 6 d\u00e9cembre 2023, il est juste de supposer que le FBI a commenc\u00e9 \u00e0 transmettre des commandes aux routeurs situ\u00e9s aux \u00c9tats-Unis \u00e0 compter de cette date pour effacer la charge utile du botnet et emp\u00eacher leur r\u00e9utilisation. -infect\u00e9.<\/p>\n<p>&#8220;Nous avons observ\u00e9 que les op\u00e9rateurs de r\u00e9seaux de zombies KV commencent \u00e0 se restructurer, engageant huit heures d&#8217;activit\u00e9 cons\u00e9cutives le 8 d\u00e9cembre 2023, pr\u00e8s de dix heures d&#8217;activit\u00e9 le lendemain, le 9 d\u00e9cembre 2023, suivies d&#8217;une heure le 11 d\u00e9cembre 2023&#8221;, Lumen <a rel=\"nofollow noopener\" href=\"https:\/\/blog.lumen.com\/kv-botnet-dont-call-it-a-comeback\/\" target=\"_blank\">dit<\/a> dans un rapport technique partag\u00e9 avec The Hacker News.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707329487_134_Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.jpg\" style=\"display: block; text-align: center; clear: left; float: left;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707329487_134_Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.jpg\" alt=\"\" border=\"0\" data-original-height=\"470\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Au cours de cette p\u00e9riode de quatre jours, l&#8217;auteur de la menace a \u00e9t\u00e9 rep\u00e9r\u00e9 en train d&#8217;interagir avec 3\u00a0045 adresses IP uniques associ\u00e9es aux NETGEAR ProSAFE (2\u00a0158), aux Cisco RV 320\/325 (310), aux cam\u00e9ras IP Axis (29) et aux routeurs DrayTek Vigor (17). , et d&#8217;autres appareils non identifi\u00e9s (531).<\/p>\n<p>D\u00e9but d\u00e9cembre 2023, une augmentation massive des tentatives d&#8217;exploitation du serveur de charge utile a \u00e9galement \u00e9t\u00e9 observ\u00e9e, indiquant les tentatives probables de l&#8217;adversaire de r\u00e9exploiter les appareils lorsqu&#8217;il a d\u00e9tect\u00e9 que son infrastructure \u00e9tait hors ligne.  Lumen a d\u00e9clar\u00e9 avoir \u00e9galement pris des mesures pour supprimer un autre ensemble de serveurs de sauvegarde devenus op\u00e9rationnels \u00e0 peu pr\u00e8s au m\u00eame moment.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707329488_457_Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707329488_457_Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.jpg\" alt=\"Botnet KV chinois\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" title=\"Botnet KV chinois\"\/><\/a><\/div>\n<p>Il convient de noter que les op\u00e9rateurs du botnet KV sont connus pour effectuer leurs propres reconnaissances et ciblage tout en soutenant plusieurs groupes comme Volt Typhoon.  Il est int\u00e9ressant de noter que les horodatages associ\u00e9s \u00e0 l\u2019exploitation des robots correspondent aux heures de travail en Chine.<\/p>\n<p>&#8220;Notre t\u00e9l\u00e9m\u00e9trie indique qu&#8217;il y avait des connexions administratives aux serveurs de donn\u00e9es utiles connus \u00e0 partir d&#8217;adresses IP associ\u00e9es \u00e0 China Telecom&#8221;, a d\u00e9clar\u00e9 Danny Adamitis, ing\u00e9nieur principal en s\u00e9curit\u00e9 de l&#8217;information chez Black Lotus Labs, \u00e0 The Hacker News.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707329488_537_Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/1707329488_537_Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.jpg\" alt=\"Botnet KV chinois\" border=\"0\" data-original-height=\"233\" data-original-width=\"728\" title=\"Botnet KV chinois\"\/><\/a><\/div>\n<p>De plus, la d\u00e9claration du minist\u00e8re am\u00e9ricain de la Justice <a rel=\"nofollow noopener\" href=\"https:\/\/www.justice.gov\/opa\/pr\/us-government-disrupts-botnet-peoples-republic-china-used-conceal-hacking-critical\" target=\"_blank\">d\u00e9crit<\/a> le botnet est contr\u00f4l\u00e9 par des \u00ab pirates informatiques parrain\u00e9s par l&#8217;\u00c9tat de la R\u00e9publique populaire de Chine (RPC). \u00bb<\/p>\n<p>Cela soul\u00e8ve la possibilit\u00e9 que le botnet \u00ab ait \u00e9t\u00e9 cr\u00e9\u00e9 par une organisation soutenant les pirates informatiques de Volt Typhoon ; alors que si le botnet avait \u00e9t\u00e9 cr\u00e9\u00e9 par Volt Typhoon, nous soup\u00e7onnons qu&#8217;ils auraient parl\u00e9 d&#8217;acteurs \u00ab d&#8217;\u00c9tat-nation \u00bb \u00bb, a ajout\u00e9 Adamitis.<\/p>\n<p>Certains signes indiquent \u00e9galement que les auteurs de la menace ont cr\u00e9\u00e9 d\u00e8s janvier 2023 un troisi\u00e8me cluster de botnets apparent\u00e9 mais distinct, baptis\u00e9 x.sh, compos\u00e9 de routeurs Cisco infect\u00e9s en d\u00e9ployant un shell Web nomm\u00e9 \u00ab fys.sh \u00bb, comme l&#8217;a soulign\u00e9 SecurityScorecard en dernier lieu. mois.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2024\/02\/Apres-le-retrait-du-FBI-les-operateurs-de-KV-Botnet-changent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Mais comme le botnet KV n&#8217;est qu&#8217;\u00ab une forme d&#8217;infrastructure utilis\u00e9e par Volt Typhoon pour dissimuler son activit\u00e9 \u00bb, on s&#8217;attend \u00e0 ce que la r\u00e9cente vague d&#8217;actions incite les acteurs parrain\u00e9s par l&#8217;\u00c9tat \u00e0 probablement passer \u00e0 un autre r\u00e9seau secret afin de r\u00e9pondre \u00e0 leurs objectifs strat\u00e9giques. objectifs.<\/p>\n<p>&#8220;Un pourcentage important de tous les \u00e9quipements r\u00e9seau utilis\u00e9s dans le monde fonctionnent parfaitement bien, mais ne sont plus pris en charge&#8221;, a d\u00e9clar\u00e9 English.  \u00ab Les utilisateurs finaux ont un choix financier difficile lorsqu&#8217;un appareil atteint ce point, et beaucoup ne savent m\u00eame pas qu&#8217;un routeur ou un pare-feu a atteint la fin de sa dur\u00e9e de vie.<\/p>\n<p>&#8220;Les auteurs de menaces avanc\u00e9es sont bien conscients que cela repr\u00e9sente un terrain fertile pour l&#8217;exploitation. Remplacer les appareils non pris en charge est toujours le meilleur choix, mais ce n&#8217;est pas toujours r\u00e9alisable.&#8221;<\/p>\n<p>\u00ab\u00a0L&#8217;att\u00e9nuation implique que les d\u00e9fenseurs ajoutent leurs appareils de pointe \u00e0 la longue liste de ceux qu&#8217;ils doivent d\u00e9j\u00e0 corriger et mettre \u00e0 jour aussi souvent que possible, red\u00e9marrent les appareils et configurent les solutions EDR ou SASE le cas \u00e9ch\u00e9ant, et gardent un \u0153il sur les transferts de donn\u00e9es volumineux hors du r\u00e9seau. Le g\u00e9orep\u00e9rage n&#8217;est pas une d\u00e9fense sur laquelle s&#8217;appuyer lorsque l&#8217;acteur mena\u00e7ant peut sauter depuis un point proche. \u00bb<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/after-fbi-takedown-kv-botnet-operators.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Les acteurs mena\u00e7ants derri\u00e8re le Botnet KV apport\u00e9 des \u00ab changements de comportement \u00bb au r\u00e9seau malveillant alors que les forces de l&#8217;ordre am\u00e9ricaines commen\u00e7aient \u00e0 \u00e9mettre des commandes pour neutraliser l&#8217;activit\u00e9. KV-botnet est le nom donn\u00e9 \u00e0 un r\u00e9seau de routeurs et de pare-feu pour petites entreprises et bureaux \u00e0 domicile (SOHO) compromis \u00e0 [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":1137912,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,271,24402,4168,4165,4161,200267,29062,220114,4159,4171,65,200271,200268,200269,200270,14696,185,30649,4932,128318,4172,4169,467,12517,4166,4164],"class_list":["post-1137911","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-apres","tag-changent","tag-comment-pirater","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-fbi","tag-kvbotnet","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-operateurs","tag-pour","tag-rebondir","tag-retrait","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-tactique","tag-tenter","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1137911","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=1137911"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/1137911\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/1137912"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=1137911"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=1137911"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=1137911"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}