In un rapporto dettagliato pubblicato dal team Black Lotus Labs di Lumen Technologies si rivela che il gruppo APT Volt Typhoon (Bronze Silhouette), sponsorizzato dallo stato cinese, potrebbe essere collegato a una sofisticata campagna botnet denominata KV-botnet che, almeno dal 2022, prende di mira le aziende sfruttando router SOHO (Small Office/Home Office), firewall e dispositivi VPN vulnerabili ed esposti in rete.
In particolare, a essere presi di mira dal gruppo APT sono firewall Netgear ProSAFE, router Cisco RV320, DrayTek Vigor e, più recentemente, anche telecamere IP Axis.
Scopo ultimo dell’attore della minaccia è quello di insinuarsi nel traffico di rete legittimo per perpetrare le proprie attività illecite e rimanere inosservato.
Indice degli argomenti
Analisi tecnica della campagna KV-botnet
L’analisi avrebbe identificato che la botnet presenta due cluster logici distinti denominati rispettivamente KV (che prende di mira obiettivi di alto valore e probabilmente gestito manualmente) e JDY (che implementa tecniche meno sofisticate di scansione del targeting), un processo di infezione complesso e un’infrastruttura Virtual Private Server (VPS) dedicata per il comando e controllo C2.
Mentre la componente KV risulta costituita principalmente da prodotti a fine vita Cisco RV320, firewall NETGEAR ProSAFE e recentemente da telecamere IP Axis (M1045-LW, M1065-LW e p1367-E), il cluster JDY sarebbe composto esclusivamente da router Cisco RV320/RV325.
L’analisi rileverebbe, inoltre, una complessa catena di infezione in diverse fasi che coinvolge più file arrestando processi specifici e rimuovendo strumenti di sicurezza in esecuzione sul dispositivo compromesso.
Riassumendo, il carico utile primario della botnet prevederebbe ben quattro componenti principali rispettivamente dedicate per l’evasione, l’impostazione di una funzione di tunneling, le interazioni C2 e l’esecuzione di comandi predefiniti.
Per eludere il rilevamento, il bot oltre che risiedere in memoria (approccio che influisce sulla sua capacità di persistere sui dispositivi infetti), imposterebbe porte random per la comunicazione con il server C2 e impersonerebbe nomi di processi esistenti per nascondere la propria attività.
I comandi ricevuti dal server C2 riguarderebbero tra l’altro l’aggiornamento delle impostazioni di comunicazione, l’estrazione di informazioni host e la creazione di connessioni di rete.
Il malware risulterebbe efficace contro una vasta gamma di architetture, tra cui ARM, MIPS, MIPSEL, x86_64, i686, i486 e i386.
Obiettivi e attività della campagna KV-botnet
Black Lotus Labs ha ritenuto di collegare questa botnet al gruppo cinese Volt Typhoon dopo aver riscontrato sovrapposizioni negli indirizzi IP e nelle tattiche adottate e aver registrato orari di operatività in linea con l’ora standard cinese.
L’attività della botnet sarebbe aumentata in modo significativo a partire da agosto 2023 e poi di nuovo a metà novembre 2023. Le date di attacco più recenti risalirebbero al 5 dicembre 2023, dimostrando l’attività ancora in corso della campagna.
“A partire da agosto 2023, abbiamo osservato un aumento nello sfruttamento di nuovi bot per la botnet KV. Ciò ha coinciso con una nuova attività poiché i bot di questa rete hanno interagito con un’azienda di energia rinnovabile con sede in Europa fino a novembre 2023. Da metà novembre 2023, abbiamo osservato l’attore rimodellare l’infrastruttura della botnet. Successivamente, dal 29 al 30 novembre, abbiamo osservato una nuova ondata di attacchi contro le telecamere IP Axis. Infine, il 5 dicembre, abbiamo osservato un’ondata significativa di exploit che ha infettato oltre 170 dispositivi ProSAFE.”, si legge nel rapporto.
La presa di mira di nuovi tipi di dispositivi come le telecamere IP e lo sfruttamento di massa all’inizio del mese di dicembre, potrebbero rappresentare secondo Black Lotus Labs dei segnali indicativi di una possibile recrudescenza durante le prossime festività natalizie.
Sebbene Black Lotus riferisca che molte delle infezioni sembrino opportunistiche, l’ambito di attività principale della botnet KV sarebbe lo spionaggio e la raccolta di informazioni come dimostrano gli attacchi accertati contro fornitori di servizi Internet e di telecomunicazioni, un ente governativo territoriale statunitense a Guam, organizzazioni militari statunitensi e un’azienda di energia rinnovabile in Europa.
Possibili misure di mitigazione
Per proteggere le proprie reti dalle compromissioni di attacchi di questo tipo i ricercatori consigliano di prendere in considerazione soluzioni di sicurezza adeguate allo scopo di rafforzare il livello di sicurezza e consentire un rilevamento affidabile sulle comunicazioni di rete.
A tutti gli utenti di router di tipo SOHO consigliano altresì di installare regolarmente aggiornamenti e patch di sicurezza quando possibile e di adottare delle soluzioni EDR adeguatamente configurate.
I ricercatori hanno condiviso con la comunità cyber la scoperta rilasciando gli indicatori di compromissione (IoC) associati alla botnet sulla propria pagina della piattaforma GitHub.
