Уряд США оголосив, що зламав роботу ботнету Volt Typhoon, за допомогою якого він атакував критичну інфраструктуру в США та інших країнах.
Операція, схвалена американським правосуддям у грудні 2023 року, знищила ботнет із сотень американських маршрутизаторів для малих офісів/домашніх офісів (SOHO), які були захоплені хакерами з Китайської Народної Республіки (КНР), які фінансуються державою.
Volt Typhoon атакував критичну інфраструктуру
Хакери, відомі в приватному секторі як «Volt Typhoon», використовували приватні маршрутизатори SOHO, заражені шкідливим програмним забезпеченням «KV Botnet», щоб відстежити походження додаткових хакерських дій проти США та інших іноземних жертв з Народної Республіки, щоб приховати Китай. Ці додаткові хакерські дії включали кампанію проти організацій критичної інфраструктури в Сполучених Штатах та в інших країнах світу. У травні 2023 року ці атаки стали предметом повідомлення ФБР, Агентства національної безпеки, Агентства з кібербезпеки та безпеки інфраструктури (CISA) та іноземних партнерів. Ця сама діяльність була предметом консультацій для партнерів з приватного сектору в травні та грудні 2023 року, а також додаткового сповіщення Secure by Design, виданого сьогодні CISA.
«Демонтаж ФБР ботнету KV є чітким сигналом того, що ФБР вживе рішучих заходів, щоб захистити критично важливу інфраструктуру нашої країни від кібератак», — сказав спеціальний агент Дуглас Вільямс з польового офісу ФБР у Х’юстоні. «Забезпечуючи заміну маршрутизаторів для дому та малого бізнесу після закінчення терміну служби, звичайні громадяни можуть захистити як свою особисту кібербезпеку, так і цифрову безпеку Сполучених Штатів».
Коментар від Google Mandiant
«Volt Typhoon зосереджений на націленні на критичну інфраструктуру (KTITIS), таку як очисні споруди, електромережі тощо. Пролітаючи під радаром, актор наполегливо працює над зменшенням слідів, які дозволяють нам відстежувати їхню діяльність у мережах. Група використовує скомпрометовані системи для отримання прихованого доступу до нормальної активності в мережі, постійно змінюючи джерело своєї активності. Він уникає використання зловмисного програмного забезпечення, оскільки воно може викликати тривогу та дати нам щось відчутне. Відстежити таку діяльність надзвичайно важко, але не неможливо. Mandiant і Google зосереджені на тому, щоб залишатися попереду, тісно співпрацюючи з клієнтами та партнерами.
Росія теж шукає лазівки
Це не перший раз, коли критично важливу інфраструктуру США атакують таким чином. Кілька разів під час подібних операцій виявляли російських розвідників, які згодом викривали. Такі операції небезпечні та складні, але не неможливі.
Метою Volt Typhoon було підготуватися до надзвичайних ситуацій непомітно. На щастя, Volt Typhoon не залишився непоміченим, і хоча полювання складне, ми адаптуємося, щоб покращити збір розвідувальних даних і перешкодити цьому актору. Ми передбачаємо їхні дії, ми знаємо, як їх ідентифікувати, і, що найважливіше, ми знаємо, як посилити мережі, на які вони націлені», – Сандра Джойс, віце-президент Mandiant Intelligence – Google Cloud.
Більше на Justice.gov