Volt Typhoon企图重建针对美国关键基础设施的恶意Botnet

关键要点

Volt Typhoon在被FBI摧毁后，试图在短短几周内重建一个针对美国关键基础设施的复杂Botnet，但未能成功。安全研究人员与FBI的合作，阻止了该团体重新建立网络控制结构。这一事件高亮出Volt Typhoon长期潜伏在目标组织内的重大威胁以及相关防范措施的紧迫性。

最近，美国司法部宣布，FBI成功解除了数百个小型办公/家用SOHO路由器与Volt Typhoon的KV Botnet的链接。这些路由器曾被用于隐藏与其恶意活动有关的互联网流量。

该Botnet的摧毁始于去年十二月，此前对Volt Typhoon针对关键基础设施进行隐秘攻击的担忧首次被公开。Lumen的Black Lotus实验室的研究人员在接下来的一个月中，通过阻止被入侵的路由器与Volt Typhoon服务器之间的连接，成功防止了Botnet的重建。

尽管这一成功摧毁了由国家支持的威胁团体的Botnet，但这并没有缓解当局对Volt Typhoon的严重担忧。

昨天，美国联邦机构及四个国家的网络安全局透露了关于该团体的新细节，显示它在过去五年里仍保持着对一些目标组织的访问权。

团体重建Botnet的“集中”努力

Lumen的Black Lotus实验室研究人员在2月7日的文章中表示，在FBI采取行动后的几天里，他们观察到“一次短暂而集中的利用活动”。Volt Typhoon试图重新建立其指挥控制结构并重新激活Botnet。

研究人员指出：“在2023年12月8日至12月11日的三天时间里，KV Botnet的操作者针对互联网上近33的NetGear ProSAFE设备进行了重新利用，总数达到2100个设备。”

“尽管Botnet操作者付出了很多努力，但Lumen Technologies迅速阻止连接并结合FBI获得法庭授权的行动，似乎显著影响了KV Botnet的正常运行时间、覆盖范围和可持续性。”

然而，研究人员警告说，Volt Typhoon对被入侵的路由器和防火墙的使用是一种他们预计威胁行为者将继续采用的策略。

他们表示：“互联网上仍存在大量被认为过时且一般认为已达到生命终点的边缘设备，它们不再适合接收补丁，但仍能够满足最终用户的服务。”

“攻击者将继续以中高带宽设备作为跳板，针对他们的目标地理区域，用户往往不会注意到影响，或者缺乏必要的监控取证工具来检测感染。”

Volt Typhoon嵌入目标系统五年

与此同时，网络安全与基础设施安全局CISA与其他数个美国机构以及加拿大、英国、澳大利亚和新西兰的网络安全局发出了新的关于Volt Typhoon的警告，并给出了所有组织应急遵循的缓解建议。

这些机构于2月7日发布了两份深入的建议。第一份概述了中华人民共和国PRC国家支持的威胁行为者包括Volt Typhoon所构成的威胁及其缓解方法。第二份则集中在威胁行为者包括Volt Typhoon使用的“利用现有资源”LOTL技巧。

CISA在一份声明中表示：“近年来，美国观察到PRC网络威胁活动的战略转变，从专注于间谍活动转向对美国关键基础设施可能的破坏性网络攻击进行预备。”

第一份报告将LOTL技巧描述为Volt Typhoon在针对关键基础设施时的恶意活动特征。

报告指出：“该团体还依赖有效账户并利用强大的运营安全，这种结合使其实现长期不被发现的潜伏。”

“事实上，美国的授权机构最近观察到Volt Typhoon行为者在某些受害者IT环境中维持访问权限和立足点的迹象，持续时间已达至少五