KV-botnet: китайские хакеры меняют тактику после операции США

ИБ-специалисты из компании Lumen отмечают «поведенческие изменения» в деятельности китайской вредоносной сети KV-botnet после того, как правоохранительные органы США начали принимать меры по её нейтрализации.

KV-botnet — это сеть заражённых роутеров и устройств брандмауэров для малого офиса и домашнего использования (SOHO) по всему миру, часть которой используется китайскими государственными хакерами для скрытной передачи данных.

Эта вредоносная сеть активна с февраля 2022 года и была впервые зафиксирована командой Black Lotus Labs в декабре 2023 года. Сеть состоит из двух основных подгрупп — KV и JDY, причём последняя в основном используется для сканирования потенциальных целей.

В конце прошлого месяца правительство США объявило о проведении масштабной операции по ликвидации кластера KV. После этого, в результате действий ФБР, кластер JDY тоже прекратил активность примерно на две недели.

Количество активных ботов в этой сети сократилось с 1500 в середине декабря прошлого года до приблизительно 650 в середине января этого года. Это связывают с началом принудительного удаления вредоносного ПО с роутеров в США, начавшимся после выдачи соответствующего ордера 6 декабря 2023 года.

Тогда же операторы KV-botnet начали активно перестраивать свою сеть, уделив этому процессу суммарно около 20 часов. В ходе этих действий были замечены взаимодействия с 3045 уникальными IP-адресами, связанными с устройствами различных производителей.

Кроме того, был зафиксирован резкий скачок попыток эксплуатации уязвимостей, благодаря которым злоумышленники получили контроль над устройствами в прошлый раз. Это указывает на желание злоумышленников повторно заразить устройства, которые «отвалились» из их вредоносной сети.

Интересно, что все операции KV-botnet проходили строго по рабочему времени в Китае, а некоторые IP-адреса, использованные для управления вредоносным ПО, при проверке «бьются» с компанией China Telecom. Впрочем, для американских специалистов эта информация не нова, и они уже давно ассоциируют KV-botnet с деятельностью китайских хакеров Volt Typhoon, поддерживаемых коммунистической партией Китая.

Эксперты предполагают, что хакеры Volt Typhoon теперь перейдут на использование другой, более скрытной сети для достижения своих стратегических целей. Особенно учитывая, что KV-botnet — лишь один из инструментов в их арсенале.

Специалисты подчёркивают, что очень большой процент сетевого оборудования, используемого повсеместно в американских организациях, хотя и работают исправно, но уже давно не поддерживаются производителями, что и создаёт благоприятные условия для их эксплуатации злоумышленниками.

Самая эффективная мера обеспечения безопасности в данном случае — полная замена устаревших устройств с истёкшей поддержкой, хотя это и может быть очень непросто с финансовой точки зрения. В ином случае, уязвимым устройствам необходимо отключить доступ из Интернета, а если и это невозможно, то регулярно перезагружать их, так как вредоносное ПО для маршрутизаторов обычно не может прописаться в автозагрузку.

Кроме того, использование в организации EDR-решений и SASE-систем в купе с контролем объёма передаваемого трафика — должно дополнительно усилить защиту и избежать нежелательных последствий из-за действий злоумышленников.