Volt Typhoon è Tornato: Gli Hacker Ripristinano la Botnet KV e Puntano ai Router Obsoleti

Il gruppo di hacker cinese Volt Typhoon ha iniziato a ripristinare la sua botnet KV, che era stata disattivata dalle forze dell’ordine alla fine del 2023. Secondo gli esperti il ​​gruppo attacca ora soprattutto i router Cisco e Netgear ormai obsoleti.

Chi ci sia dietro Volt Typhoon ancora non è chiaro in quanto i due schieramenti, Cina e USA, attribuiscono il gruppo all’altro Stato. Quello che è sicuro che si tratta di un gruppo di hacking “governativo” che si è infiltrato nelle infrastrutture critiche degli Stati Uniti e ha attaccato altre reti almeno nel 2021.

Secondo  un rapporto Microsoft del 2023, gli attacchi di Volt Typhoon utilizzano botnet costituite da centinaia di router e altri dispositivi sparsi negli Stati Uniti per nascondere attività dannose ed eludere il rilevamento.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

All’inizio del 2024, l’FBI  ha annunciato di aver smantellato una grande botnet KV di proprietà di un gruppo di hacker e di aver ripulito i dispositivi compromessi dal malware Volt Typhoon. Secondo gli  esperti di sicurezza informatica, gli hacker hanno tentato senza indugio di ripristinare l’infrastruttura distrutta, ma ciò non ha prodotto alcun risultato.

Come riferiscono ora gli esperti di securityScorecard, nonostante ciò Volt Typhoon è ancora attivo e sta facendo progressi nel ripristino della botnet KV. Il gruppo ora prende di mira i router Cisco e Netgear legacy e ha compromesso “un numero significativo di dispositivi” in appena un mese. Per l’hacking vengono utilizzati principalmente malware MIPS e web shell che trasmettono dati attraverso porte non standard, rendendo difficile il rilevamento della minaccia.

Secondo i ricercatori, l’attività degli hacker è ripresa nel settembre 2024 e il gruppo è tornato in azione con una nuova rete di dispositivi compromessi proveniente dall’Asia. Ora la botnet KV, che SecurityScorecard traccia come JDYFJ (a causa del certificato SSL autofirmato trovato sui dispositivi compromessi), prende di mira principalmente i dispositivi della serie Cisco RV320/325 e Netgear ProSafe.

È noto che in soli 37 giorni Volt Typhoon ha compromesso circa il 30% di tutti i dispositivi Cisco RV320/325 accessibili via Internet.

“Non sappiamo quale specifica vulnerabilità o errore venga sfruttato dagli aggressori. Tuttavia, poiché questi dispositivi hanno raggiunto la fine della loro vita utile, gli aggiornamenti non vengono più rilasciati”, hanno affermato i ricercatori. L’obiettivo principale della rinascita della botnet KV sembra essere quello di mascherare attività dannose instradando il traffico attraverso un’infrastruttura legittima compromessa.

Per creare una rete più ampia e stabile, i server di controllo della botnet si trovano in Digital Ocean, Quadranet e Vultr. Si noti inoltre che Volt Typhoon utilizza un dispositivo VPN compromesso situato sull’isola della Nuova Caledonia nel Pacifico come ponte che instrada il traffico tra la regione Asia-Pacifico e le Americhe, fungendo da hub nascosto.

Per proteggersi dagli attacchi Volt Typhoon, gli esperti consigliano di sostituire i dispositivi più vecchi e non supportati con modelli più recenti, aggiornare il firmware all’ultima versione, posizionarli dietro firewall, non consentire l’accesso remoto ai pannelli di amministrazione su Internet e modificare le credenziali di amministratore predefinite.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.
Aree di competenza: