Експерти з кібербезпеки компанії SecurityScorecard виявили масштабну кампанію з відновлення діяльності сумнозвісного ботнету KV, яку проводить китайське хакерське угруповання Volt Typhoon. Після успішної операції правоохоронних органів з нейтралізації ботнету наприкінці 2023 року, зловмисники розпочали систематичну відбудову шкідливої інфраструктури, зосередивши увагу на вразливих маршрутизаторах провідних виробників.
Масштаби та технічні особливості нової кампанії
Аналітики зафіксували безпрецедентну активність хакерів щодо застарілих моделей мережевого обладнання. За 37 днів кіберзлочинцям вдалося скомпрометувати близько 30% всіх доступних через інтернет пристроїв Cisco серії RV320/325. Особливу небезпеку становить використання спеціалізованого MIPS-шкідливого програмного забезпечення та веб-шелів, що працюють через нестандартні порти, що суттєво ускладнює виявлення зловмисної активності традиційними засобами захисту.
Технічна інфраструктура оновленого ботнету
Модернізований ботнет KV, який отримав кодову назву JDYFJ, використовує розгалужену мережу командних серверів на платформах Digital Ocean, Quadranet та Vultr. Особливу увагу фахівців привернуло використання скомпрометованого VPN-пристрою на острові Нова Каледонія, який виконує роль прихованого транзитного вузла між Азійсько-Тихоокеанським регіоном та Америкою.
Рекомендації щодо посилення захисту
Для мінімізації ризиків компрометації критично важливо впровадити такі заходи безпеки:
– Заміна застарілих маршрутизаторів на сучасні моделі з актуальною технічною підтримкою
– Своєчасне оновлення програмного забезпечення до найновіших версій
– Розміщення мережевого обладнання за брандмауерами
– Деактивація віддаленого доступу до панелей адміністрування через інтернет
– Зміна стандартних облікових даних адміністратора
Враховуючи безпрецедентні темпи поширення оновленої версії ботнету KV та його вдосконалену архітектуру, організаціям необхідно терміново вжити превентивних заходів захисту. Особливо вразливими залишаються підприємства, які використовують застарілі моделі маршрутизаторів Cisco та Netgear. Впровадження сучасних засобів захисту та дотримання базових принципів кібергігієни дозволить суттєво знизити ризики успішної компрометації мережевої інфраструктури.
