Исследователи из Black Lotus Labs компании Lumen обнаружили , что продвинутая ботнет-сеть, известная как KV-Botnet напрямую связана с деятельностью китайской хакерской группировки Volt Typhoon.
KV-Botnet – это активный с февраля 2022 года вредоносный ботнет, использующий для атак в основном маломощные устройства категории SOHO.
Так, в июле и августе прошлого года в составе ботнета были замечены устройства Cisco RV320, DrayTek Vigor и NETGEAR ProSAFE. К декабрю этого года в фокусе группы оказались IP-камеры Axis, такие как M1045-LW, M1065-LW и p1367-E.
Microsoft сообщила, что хакерам Volt Typhoon даже удалось проникнуть в организации критической инфраструктуры США и Гуама, оставаясь незамеченными на протяжении длительного времени. Целью кампании китайских хакеров было создание возможностей для нарушения критической коммуникационной инфраструктуры между США и Азией на случай будущих кризисов.
Группа Volt Typhoon активно ведёт кибероперации против критической инфраструктуры разных стран с середины 2021 года, нацеливаясь на организации в сферах связи, производства, энергетики, транспорта, строительства, морского хозяйства, государственного управления, информационных технологий и образования.
Для маскировки своей деятельности группа часто использует техники, основанные на использовании ресурсов заражённых устройств, и активное управление заражением для уклонения от обнаружения.
Исследователи Black Lotus Labs пришли к выводу, что процесс заражения KV-Botnet является многоступенчатым, однако первоначальный механизм заражения до сих пор не обнаружен.
Наблюдаемые изменения в структуре ботнета и начало использования IP-камер перед началом зимы указывают на подготовку к новой кампании. Исследователи предполагают, что это может быть предвестником усиления активности хакеров в праздничный сезон.
Отмечается, что киберпреступники продолжат нацеливаться на устаревшие SOHO-устройства для создания скрытой инфраструктуры. Предпочтение отдаётся этим устройствам из-за их повышенной уязвимости и отсутствия ресурсов для обнаружения и анализа вредоносной активности.
Исследование подчёркивает, что использование KV-Botnet ограничено действиями, связанными с Китаем, и в основном направлено на стратегические интересы в Индо-Тихоокеанском регионе, включая интернет-провайдеров и государственные организации.