O governo dos EUA anunciou que havia interrompido a botnet do ator ameaçador Volt Typhoon, que usou para atacar infraestruturas críticas nos Estados Unidos e em outros países.
Uma operação autorizada pelo judiciário americano em dezembro de 2023 destruiu uma botnet de centenas de roteadores de pequenos escritórios/escritórios domésticos (SOHO) sediados nos EUA, sequestrados por hackers patrocinados pelo Estado da República Popular da China (RPC).
Volt Typhoon atacou infraestrutura crítica
Os hackers, conhecidos no setor privado como “Volt Typhoon”, usaram roteadores SOHO privados infectados com o malware “KV Botnet” para rastrear a origem de atividades de hackers adicionais contra vítimas dos EUA e outras vítimas estrangeiras da República Popular para ocultar a China. Essas atividades adicionais de hackers incluíram uma campanha contra organizações de infraestrutura crítica nos Estados Unidos e em outros lugares do mundo. Em Maio de 2023, estes ataques foram objecto de um aviso do FBI, da Agência de Segurança Nacional, da Agência de Segurança Cibernética e de Infra-estruturas (CISA) e de parceiros estrangeiros. Esta mesma atividade foi objeto de avisos a parceiros do setor privado em maio e dezembro de 2023, bem como de um alerta adicional Secure by Design emitido hoje pela CISA.
“O desmantelamento da botnet KV pelo FBI é um sinal claro de que o FBI tomará medidas decisivas para proteger a infraestrutura crítica do nosso país contra ataques cibernéticos”, disse o agente especial encarregado Douglas Williams, do escritório de campo do FBI em Houston. “Ao garantir que os roteadores domésticos e de pequenas empresas sejam substituídos no final de sua vida útil, os cidadãos comuns podem proteger tanto sua segurança cibernética pessoal quanto a segurança digital dos Estados Unidos.”
Comentário do Google Mandiant
“O Volt Typhoon está focado em atingir infraestruturas críticas (KTITIS), como estações de tratamento de água, redes de energia, etc. Ao voar sob o radar, o ator trabalha duro para reduzir os rastros que nos permitem rastrear suas atividades nas redes. O grupo utiliza sistemas comprometidos para obter acesso clandestino à atividade normal da rede, mudando constantemente a fonte da sua atividade. Evita o uso de malware, pois pode disparar um alarme e nos dar algo tangível. Acompanhar essas atividades é extremamente difícil, mas não impossível. A Mandiant e o Google estão focados em permanecer à frente do jogo, trabalhando em estreita colaboração com clientes e parceiros.
A Rússia também está à procura de lacunas
Esta não é a primeira vez que infra-estruturas críticas dos EUA são atacadas desta forma. Em diversas ocasiões, agentes da inteligência russa foram descobertos no meio de operações semelhantes que acabaram por ser expostas. Tais operações são perigosas e exigentes, mas não impossíveis.
O objetivo do Volt Typhoon era se preparar para uma contingência sem ser notado. Felizmente, o Volt Typhoon não passou despercebido e, embora a caça seja desafiadora, estamos nos adaptando para melhorar a coleta de informações e frustrar esse ator. Antecipamos seus movimentos, sabemos como identificá-los e, o mais importante, sabemos como fortalecer as redes que eles visam.” – Sandra Joyce, vice-presidente, Mandiant Intelligence – Google Cloud.
Mais em Justice.gov