FBI'ın Kaldırılmasından Sonra, KV-Botnet Operatörleri Geri Dönme Girişiminde Taktikleri Değiştiriyor
KV-botnet'in arkasındaki tehdit aktörleri, ABD kolluk kuvvetleri etkinliği etkisiz hale getirmek için komutlar vermeye başladığında kötü niyetli ağda "davranış değişiklikleri" yaptı.
KV-botnet, Volt Typhoon (diğer adıyla Bronz Siluet, Insidious Taurus veya Vanguard Panda) dahil olmak üzere diğer Çin devlet destekli aktörler için gizli bir veri aktarım sistemi görevi gören, dünya çapında güvenliği ihlal edilmiş küçük ofis ve ev ofis (SOHO) yönlendiricileri ve güvenlik duvarı cihazlarından oluşan bir ağa verilen addır.
En az Şubat 2022'den beri aktif olan sistem, ilk olarak Aralık 2023'ün ortalarında Lumen Technologies'deki Black Lotus Labs ekibi tarafından belgelendi. Botnet'in iki ana alt gruptan oluştuğu bilinmektedir, yani KV ve JDY, ikincisi esas olarak keşif için potansiyel hedefleri taramak için kullanılır.
Geçen ayın sonlarında, ABD hükümeti, JDY alt grubu aracılığıyla daha geniş bir taramadan sonra seçilen yüksek profilli hedeflere karşı manuel operasyonlar için ayrılan KV kümesini ortadan kaldırmak için mahkeme tarafından yetkilendirilmiş bir kesinti çabasını duyurdu.
Şimdi, siber güvenlik firmasının yeni bulgularına göre, JDY kümesi, kamuya açıklanmasının ardından ve ABD Federal Soruşturma Bürosu (FBI) girişiminin bir yan ürünü olarak yaklaşık on beş gün boyunca sessiz kaldı.
Güvenlik araştırmacısı Ryan English, "Aralık 2023'ün ortalarında, bu etkinlik kümesinin yaklaşık 1.500 aktif botta gezindiğini gözlemledik" dedi. "Ocak 2024'ün ortalarında bu kümenin boyutunu örneklediğimizde, boyutu yaklaşık 650 bota düştü."
Yayından kaldırma eylemlerinin 6 Aralık 2023'te çıkarılan imzalı bir emirle başladığı göz önüne alındığında, FBI'ın botnet yükünü silmek ve yeniden virüs bulaşmasını önlemek için bu tarihte veya sonrasında ABD'de bulunan yönlendiricilere komutlar iletmeye başladığını varsaymak doğru olur.
Lumen, paylaşılan teknik bir raporda, "KV-botnet operatörlerinin yeniden yapılanmaya başladığını, 8 Aralık 2023'te sekiz saat, ertesi gün 9 Aralık 2023'te yaklaşık on saat ve ardından 11 Aralık 2023'te bir saat faaliyet gösterdiğini gözlemledik" dedi.
Bu dört günlük süre boyunca, tehdit aktörünün NETGEAR ProSAFE'ler (2.158), Cisco RV320/325 (310), Axis IP kameraları (29), DrayTek Vigor yönlendiricileri (17) ve diğer tanımlanamayan cihazlarla (531) ilişkili 3.045 benzersiz IP adresiyle etkileşime girdiği tespit edildi.
Ayrıca Aralık 2023'ün başlarında, yük sunucusundan yararlanma girişimlerinde büyük bir artış gözlemlendi ve bu, düşmanın altyapılarının çevrimdışı olduğunu tespit ettiklerinde cihazlardan yeniden yararlanma girişimlerini gösteriyor. Lumen, aynı zamanda faaliyete geçen başka bir yedekleme sunucusu grubunu da boş yönlendirmek için adımlar attığını söyledi.
KV-botnet operatörlerinin kendi keşif ve hedeflemelerini gerçekleştirirken aynı zamanda Volt Typhoon gibi birden fazla grubu destekledikleri bilinmektedir. İlginç bir şekilde, botların sömürülmesiyle ilişkili zaman damgaları Çin'in çalışma saatleriyle ilişkilidir.
Black Lotus Labs'ın baş bilgi güvenliği mühendisi Danny Adamitis, verdiği bir demeçte, "Telemetrimiz, China Telecom ile ilişkili IP adreslerinden bilinen yük sunucularına idari bağlantılar olduğunu gösteriyor" dedi.
Dahası, ABD Adalet Bakanlığı'ndan yapılan basın açıklamasında, botnet'in "Çin Halk Cumhuriyeti (ÇHC) devlet destekli bilgisayar korsanları" tarafından kontrol edildiği belirtildi.
Bu, botnet'in "Volt Typhoon bilgisayar korsanlarını destekleyen bir kuruluş tarafından oluşturulduğu; oysa botnet Volt Typhoon tarafından yaratılmış olsaydı, 'ulus devlet' aktörleri diyeceklerinden şüpheleniyoruz" diye ekledi Adamitis.
Tehdit aktörlerinin, geçen ay SecurityScorecard tarafından vurgulandığı gibi, "fys.sh" adlı bir web kabuğu dağıtarak virüslü Cisco yönlendiricilerinden oluşan, Ocak 2023 gibi erken bir tarihte x.sh olarak adlandırılan üçüncü bir ilişkili ancak farklı botnet kümesi kurduğuna dair işaretler de var.
Ancak KV-botnet'in "Volt Typhoon tarafından faaliyetlerini gizlemek için kullanılan bir altyapı biçimi" olmasıyla, son eylem dalgasının gelişmiş kalıcı tehdit (APT) aktörlerini muhtemelen stratejik hedeflerine ulaşmak için başka bir gizli ağa geçmeye sevk etmesi bekleniyor.
English, "Dünya çapında kullanılan tüm ağ ekipmanlarının önemli bir yüzdesi mükemmel bir şekilde çalışıyor, ancak artık desteklenmiyor" dedi. "Son kullanıcılar, bir cihaz bu noktaya ulaştığında zor bir finansal seçime sahip oluyor ve birçoğu bir yönlendiricinin veya güvenlik duvarının desteklenen ömrünün sonunda olduğunun farkında bile değil.
"Gelişmiş tehdit aktörleri, bunun istismar için verimli bir zemin oluşturduğunun farkındadır. Desteklenmeyen cihazları değiştirmek her zaman en iyi seçimdir, ancak her zaman mümkün değildir."
"Azaltma, savunucuların uç cihazlarını mümkün olduğunca sık yama ve güncelleme yapmak zorunda oldukları uzun listeye eklemelerini, cihazları yeniden başlatmalarını ve uygun olduğunda EDR veya SASE çözümlerini yapılandırmalarını ve ağ dışına büyük veri aktarımlarını takip etmelerini içerir. Geofencing, tehdit aktörü yakındaki bir noktadan atlayabildiğinde güvenilecek bir savunma değildir."
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı