В декабре 2023 года ФБР провело операцию по удалению заражённых систем в США, находящихся под управлением ботнета KV Botnet. Кампания была направлена на подрыв работы инфраструктуры группировки Volt Typhoon, связанной с Китаем и специализирующейся на атаках на критически важную инфраструктуру.
Несмотря на устранение значительного числа заражённых устройств, основная инфраструктура управления ботнета осталась нетронутой, что, вероятно, стало намеренной попыткой спровоцировать реакцию со стороны администраторов.
KV Botnet – это сеть заражённых роутеров и устройств брандмауэров для малого офиса и домашнего использования (SOHO) по всему миру, часть которой используется китайскими государственными хакерами для скрытной передачи данных. В конце января 2024 года правительство США объявило о проведении масштабной операции по ликвидации кластера KV. После этого, в результате действий ФБР, кластер JDY тоже прекратил активность примерно на две недели.
KV Botnet демонстрирует редкую устойчивость, несмотря на многочисленные попытки нейтрализации со стороны исследователей и правоохранительных органов. За прошедшее время операторы лишь изменяли хостинг-провайдеров, оставляя архитектуру сети практически без изменений. Такой подход резко контрастирует с уровнем технической сложности, который Volt Typhoon демонстрирует в атаках на целевые организации. Это вызывает вопросы о реальной роли данной группировки в управлении ботнетом.
Специалисты смоглиотследить активность инфраструктуры ботнета, особенно так называемого JDY-кластера, который впервые был описан в 2023 году. Кластер использует уязвимости маршрутизаторов Cisco RV320 и RV325 для распространения зловредного кода. В середине ноября 2023 года заражённые устройства начали связываться с новыми C2-серверами, которые использовали обновлённый сертификат с подписью “jdyfj”. Сертификат позволил идентифицировать ряд IP-адресов, использовавшихся для контроля.
Серверы, расположенные на IP-адресах 45.32.174[.]131 и 45.63.60[.]39, были активированы после вмешательства ФБР. Это подтверждает гипотезу о том, что администраторы ботнета предпринимают минимальные меры для восстановления работы, сосредотачиваясь на смене хостинг-провайдеров. В апреле 2024 года серверы управления снова переместились, что, вероятно, было сделано для затруднения дальнейших операций по их обнаружению. На текущий момент исследователи выделили три активных хоста (Австралия, США и Сингапур), использующих новый сертификат.
Отчет поднимает вопросы о реальной связи между KV Botnet и Volt Typhoon. Хотя действия группы нацелены на скрытность и минимальное использование инструментов, операторы ботнета не приняли значимых шагов для маскировки своей инфраструктуры после воздействия со стороны ФБР и исследователей. Возможно, управление ботнетом осуществляется другой структурой, косвенно связанной с Volt Typhoon.