Il governo degli Stati Uniti ha annunciato di aver interrotto la botnet dell'autore della minaccia Volt Typhoon, che utilizzava per attaccare infrastrutture critiche negli Stati Uniti e in altri paesi.
Un'operazione autorizzata dalla magistratura americana nel dicembre 2023 ha distrutto una botnet di centinaia di router SOHO (small office/home office) con sede negli Stati Uniti dirottati da hacker sponsorizzati dallo stato della Repubblica popolare cinese (RPC).
Volt Typhoon ha attaccato infrastrutture critiche
Gli hacker, conosciuti nel settore privato come "Volt Typhoon", hanno utilizzato router SOHO privati infettati dal malware "KV Botnet" per tracciare l'origine di ulteriori attività di hacking contro le vittime statunitensi e altre vittime straniere della Repubblica popolare per oscurare la Cina. Queste ulteriori attività di hacking includevano una campagna contro le organizzazioni di infrastrutture critiche negli Stati Uniti e in altre parti del mondo. Nel maggio 2023 questi attacchi sono stati oggetto di un avviso da parte dell’FBI, della National Security Agency, della Cybersecurity and Infrastructure Security Agency (CISA) e di partner stranieri. Questa stessa attività è stata oggetto di avvisi ai partner del settore privato nel maggio e dicembre 2023, nonché di un ulteriore avviso Secure by Design emesso oggi dalla CISA.
"Lo smantellamento della botnet KV da parte dell'FBI è un chiaro segnale che l'FBI adotterà un'azione decisiva per proteggere le infrastrutture critiche della nostra nazione dagli attacchi informatici", ha affermato l'agente speciale responsabile Douglas Williams dell'ufficio locale dell'FBI a Houston. “Garantindo che i router domestici e delle piccole imprese vengano sostituiti alla fine della loro vita, i cittadini comuni possono proteggere sia la propria sicurezza informatica personale che la sicurezza digitale degli Stati Uniti”.
Commento di Google Mandiant
“Volt Typhoon si concentra sul prendere di mira le infrastrutture critiche (KTITIS), come gli impianti di trattamento delle acque, le reti elettriche, ecc. Volando sotto il radar, l'attore lavora duramente per ridurre le tracce che ci permettono di tracciare le sue attività attraverso le reti. Il gruppo utilizza sistemi compromessi per ottenere accesso clandestino alla normale attività di rete, cambiando costantemente la fonte della sua attività. Evita l'uso di malware perché potrebbe dare l'allarme e darci qualcosa di tangibile. Monitorare tali attività è estremamente difficile, ma non impossibile. Mandiant e Google si impegnano a stare al passo con i tempi, lavorando a stretto contatto con clienti e partner.
Anche la Russia è alla ricerca di scappatoie
Questa non è la prima volta che infrastrutture critiche degli Stati Uniti vengono attaccate in questo modo. In diverse occasioni, attori dell’intelligence russa furono scoperti nel mezzo di operazioni simili che alla fine furono smascherate. Tali operazioni sono pericolose e impegnative, ma non impossibili.
Lo scopo di Volt Typhoon era prepararsi per un'eventualità senza essere notato. Fortunatamente, Volt Typhoon non è passato inosservato e, sebbene la caccia sia impegnativa, ci stiamo adattando per migliorare la raccolta di informazioni e contrastare questo attore. Anticipiamo le loro mosse, sappiamo come identificarli e, cosa più importante, sappiamo come rafforzare le reti a cui prendono di mira." – Sandra Joyce, VP, Mandiant Intelligence - Google Cloud.
Altro su Justice.gov