Il gruppo di hacker cinese Volt Typhoon ha iniziato a ricostruire il suo “botnet KV” di malware dopo che è stato interrotto dalle autorità statunitensi nel gennaio 2024. Questa notizia è stata confermata dai ricercatori di SecurityScorecard.
Volt Typhoon: un gruppo di hacker cinese
Volt Typhoon è un gruppo di hacker cinese sponsorizzato dallo stato che è stato attivo almeno da cinque anni. La sua strategia principale consiste nell’infiltrare dispositivi di rete come router SOHO e dispositivi di sicurezza per installare malware personalizzato che stabilisce canali di comunicazione e proxy coevi e mantiene l’accesso persistente ai network target.
La distruzione del botnet
Nel gennaio 2024, le autorità statunitensi hanno annunciato la distruzione del botnet di Volt Typhoon, che ha comportato la cancellazione del malware dai router infettati. Nonostante l’attacco iniziale di ricostituzione nel febbraio 2024 sia fallito, i rapporti di sfruttamento di una vulnerabilità zero-day nel mese di agosto indicavano che il gruppo di hacker rimaneva molto attivo.
La ricostruzione del botnet
Secondo un rapporto di SecurityScorecard, Volt Typhoon ha iniziato a ricostruire il suo botnet attaccando router obsoleti di Cisco e Netgear e ha compromesso un numero significativo di dispositivi in meno di un mese. Questi router sono compromessi utilizzando malware MIPS e webshell che comunicano su porte non standard, rendendo la detezione più difficile.
Metodi di attacco
Il botnet KV, anche noto come “JDYFJ Botnet” da SecurityScorecard a causa della certificazione SSL auto-firmata vista nei dispositivi compromessi, tenta principalmente di compromettere dispositivi Cisco RV320/325 e serie ProSafe di Netgear. I ricercatori di SecurityScorecard hanno affermato che, in soli 37 giorni, Volt Typhoon ha compromesso circa il 30% di tutti i dispositivi Cisco RV320/325 esposti online, anche se non è noto al momento quale debolezza o difetto sia stato sfruttato.
Consigli per la sicurezza
Per proteggersi da questo tipo di attacco, è importante:
- Sostituire dispositivi router obsoleti: I dispositivi router obsoleti non ricevono più aggiornamenti di sicurezza, rendendoli vulnerabili agli attacchi. Sostituirli con modelli più recenti è fondamentale.
- Collocare dispositivi di rete dietro firewall: Collocare dispositivi di rete dietro firewall può aiutare a proteggere i network da attacchi esterni.
- Non esporre accesso remoto ai pannelli di amministrazione: Non esporre accesso remoto ai pannelli di amministrazione dei dispositivi di rete per evitare che gli hacker possano accedere facilmente.
- Cambiare credenziali predefinite: Cambiare le credenziali predefinite dei dispositivi di rete è essenziale per prevenire l’accesso non autorizzato.
- Installare firmware aggiornato: Installare il firmware aggiornato sui dispositivi di rete più recenti può aiutare a risolvere le vulnerabilità note.
