Специалисты по кибербезопасности из SecurityScorecard зафиксировали новую волну активности китайской хакерской группировки Volt Typhoon. После успешной операции правоохранительных органов по ликвидации ботнета KV в конце 2023 года, злоумышленники начали планомерное восстановление своей вредоносной инфраструктуры, сфокусировавшись на уязвимых маршрутизаторах известных производителей.
Масштабы и методы новой кампании
По данным исследователей, хакерская группа проявляет особый интерес к устаревшим моделям маршрутизаторов Cisco RV320/325 и Netgear ProSafe. За 37 дней злоумышленникам удалось скомпрометировать около 30% всех доступных через интернет устройств Cisco серии RV320/325. Для проведения атак используется специализированная MIPS-малварь и веб-шеллы, работающие через нестандартные порты, что существенно затрудняет обнаружение вредоносной активности.
Инфраструктура и тактика ботнета
Обновленный ботнет KV, известный специалистам SecurityScorecard под кодовым названием JDYFJ, использует распределенную инфраструктуру управляющих серверов, размещенных на платформах Digital Ocean, Quadranet и Vultr. Особое внимание привлекает использование скомпрометированного VPN-устройства на острове Новая Каледония, выступающего в качестве скрытого транзитного узла между Азиатско-Тихоокеанским регионом и Америкой.
Рекомендации по защите
Для минимизации рисков компрометации эксперты рекомендуют следующие меры безопасности:
— Замена устаревших маршрутизаторов на современные модели с актуальной поддержкой
— Регулярное обновление программного обеспечения до последних версий
— Размещение сетевого оборудования за брандмауэрами
— Отключение удаленного доступа к панелям администрирования через интернет
— Изменение стандартных учетных данных администратора
Учитывая масштабы и скорость распространения новой версии ботнета KV, крайне важно оперативно принять превентивные меры защиты. Особое внимание следует уделить организациям, использующим устаревшие модели маршрутизаторов Cisco и Netgear, поскольку именно они находятся в зоне повышенного риска компрометации. Своевременное обновление инфраструктуры и следование базовым принципам кибербезопасности позволит значительно снизить вероятность успешной атаки.
