SecurityScorecard-Experten haben eine besorgniserregende Entwicklung aufgedeckt: Die chinesische APT-Gruppe Volt Typhoon hat nach der Zerschlagung ihres KV-Botnets Ende 2023 eine aggressive Kampagne zur Wiederherstellung ihrer Infrastruktur gestartet. Im Fokus der Angreifer stehen dabei besonders verwundbare Router etablierter Hersteller, was eine ernsthafte Bedrohung für Unternehmen und Organisationen darstellt.
Beispiellose Geschwindigkeit der Kompromittierung
Die Analyse zeigt eine erschreckend effiziente Vorgehensweise der Angreifer. Innerhalb von nur 37 Tagen gelang es der Gruppe, etwa 30% aller öffentlich erreichbaren Cisco RV320/325 Router zu kompromittieren. Neben Cisco-Geräten sind auch Netgear ProSafe Router im Visier der Kampagne. Die Angreifer setzen dabei auf speziell entwickelte MIPS-Malware und versteckte Web-Shells, die über ungewöhnliche Ports kommunizieren.
Sophistizierte Infrastruktur des neuen Botnets
Das von SecurityScorecard als „JDYFJ“ bezeichnete Botnet nutzt eine komplexe, verteilte Command-and-Control-Infrastruktur. Die Steuerungsserver sind strategisch auf verschiedenen Cloud-Plattformen wie Digital Ocean, Quadranet und Vultr platziert. Besonders bemerkenswert ist die Nutzung eines kompromittierten VPN-Geräts in Neukaledonien als verdeckter Transitknoten zwischen dem asiatisch-pazifischen Raum und Amerika.
Kritische Schutzmaßnahmen für Unternehmen
Angesichts der akuten Bedrohungslage empfehlen Sicherheitsexperten folgende präventive Maßnahmen:
– Sofortige Migration von Legacy-Routern auf aktuelle Modelle mit aktivem Support
– Implementation eines robusten Patch-Management-Systems
– Deployment mehrschichtiger Firewall-Lösungen
– Deaktivierung des externen Managementzugriffs
– Durchsetzung strenger Authentifizierungsrichtlinien
Die unprecedented Geschwindigkeit und Effizienz der Volt Typhoon Kampagne erfordert unmittelbares Handeln seitens der IT-Verantwortlichen. Organisationen mit älteren Cisco- und Netgear-Routern sollten höchste Priorität auf die Modernisierung ihrer Netzwerkinfrastruktur legen. Die konsequente Umsetzung grundlegender Sicherheitsmaßnahmen in Kombination mit proaktivem Monitoring kann das Risiko einer erfolgreichen Kompromittierung signifikant reduzieren.
