Die Bedrohungsakteure hinter dem KV-Botnet haben „Verhaltensänderungen“ am bösartigen Netzwerk vorgenommen, während US-Strafverfolgungsbehörden Befehle zur Neutralisierung der Aktivität erteilt haben.
KV-Botnet ist der Name eines Netzwerks von kompromittierten kleinen Büro- und Heimbüro-Routern und Firewall-Geräten auf der ganzen Welt, wobei ein bestimmter Cluster als verdecktes Datenübertragungssystem für andere chinesische staatlich geförderte Akteure, einschließlich Volt Typhoon (auch Bronze Silhouette, Insidious Taurus oder Vanguard Panda), fungiert.
Es ist seit mindestens Februar 2022 aktiv und wurde erstmals Mitte Dezember 2023 vom Team Black Lotus Labs bei Lumen Technologies dokumentiert. Das Botnet besteht aus zwei Hauptuntergruppen, nämlich KV und JDY, wobei letztere hauptsächlich zum Scannen potenzieller Ziele für Aufklärungszwecke verwendet wird.
Ende letzten Monats kündigte die US-Regierung eine gerichtlich genehmigte Störungsmaßnahme an, um den KV-Cluster stillzulegen, der in der Regel für manuelle Operationen gegen hochrangige Ziele reserviert ist, die nach umfangreicherem Scannen über die JDY-Untergruppe ausgewählt wurden.
Laut neuen Erkenntnissen des Cybersecurity-Unternehmens wurde der JDY-Cluster rund fünfzehn Tage lang still, nachdem die Offenlegung öffentlich bekannt wurde und als Nebenprodukt der Maßnahmen des Federal Bureau of Investigation (FBI).
„Mitte Dezember 2023 beobachteten wir diesen Aktivitätscluster mit etwa 1500 aktiven Bots“, sagte der Sicherheitsforscher Ryan English. „Als wir die Größe dieses Clusters Mitte Januar 2024 beispielhaft überprüften, war seine Größe auf etwa 650 Bots geschrumpft.“
Angesichts der Tatsache, dass die Maßnahmen zur Stilllegung mit einem unterzeichneten Durchsuchungsbefehl begannen, der am 6. Dezember 2023 erlassen wurde, ist es fair anzunehmen, dass das FBI ab diesem Datum oder danach Befehle an Router in den USA übertragen hat, um die Botnetz-Nutzlast zu löschen und eine erneute Infizierung zu verhindern.
„In den Tagen vom 8. bis zum 11. Dezember 2023 beobachteten wir, wie die KV-Botnet-Betreiber begannen, sich neu zu strukturieren, mit durchgehender Aktivität an acht Stunden am 8. Dezember, fast zehn Stunden Betrieb am folgenden Tag, dem 9. Dezember 2023, gefolgt von einer Stunde am 11. Dezember 2023“, sagte Lumen in einem technischen Bericht, der The Hacker News zur Verfügung gestellt wurde.
Während dieses vier Tage umfassenden Zeitraums wurde festgestellt, dass die Bedrohungsakteure mit 3.045 eindeutigen IP-Adressen interagierten, die mit NETGEAR ProSAFEs (2.158), Cisco RV 320/325 (310), Axis IP-Kameras (29), DrayTek Vigor-Routern (17) und anderen nicht identifizierten Geräten (531) verbunden waren.
Auch Anfang Dezember 2023 wurde ein massiver Anstieg der Ausbeutungsversuche vom Nutzlastserver beobachtet, was auf die wahrscheinlichen Versuche des Gegners hindeutet, die Geräte erneut auszunutzen, als sie erkannten, dass ihre Infrastruktur offline ging. Lumen ergriff auch Maßnahmen, um einen weiteren Satz von Backup-Servern, die zur gleichen Zeit aktiv wurden, zu null-routen.
Es ist erwähnenswert, dass die Betreiber des KV-Botnets bekannt dafür sind, ihre eigene Aufklärung und Zielauswahl durchzuführen, während sie gleichzeitig mehrere Gruppen wie Volt Typhoon unterstützen. Interessanterweise korrelieren die Zeitstempel, die mit der Ausbeutung der Bots verbunden sind, mit den Arbeitszeiten in China.
„Unsere Telemetriedaten zeigen, dass es administrative Verbindungen zu den bekannten Nutzlastservern von IP-Adressen gibt, die mit China Telecom verbunden sind“, sagte Danny Adamitis, Principal Information Security Engineer bei Black Lotus Labs, The Hacker News.
Darüber hinaus beschrieb das US-Justizministerium das Botnetz als kontrolliert von „staatlich geförderten Hackern der Volksrepublik China (PRC)“. Dies legt die Möglichkeit nahe, dass das Botnetz „von einer Organisation geschaffen wurde, die die Volt Typhoon-Hacker unterstützt; wenn das Botnetz jedoch von Volt Typhoon erstellt wurde, vermuten wir, dass sie von „staatlichen“ Akteuren gesprochen hätten“, fügte Adamitis hinzu.
Es gibt auch Anzeichen dafür, dass die Bedrohungsakteure bereits im Januar 2023 einen dritten zusammenhängenden, jedoch unabhängigen Botnetz-Cluster mit dem Namen x.sh eingerichtet haben, der aus infizierten Cisco-Routern besteht und eine Webshell namens „fys.sh“ einsetzt, wie letzten Monat von SecurityScorecard hervorgehoben wurde.
Da das KV-Botnetz jedoch nur „eine Form der Infrastruktur ist, die von Volt Typhoon verwendet wird, um ihre Aktivitäten zu verschleiern“, ist zu erwarten, dass die jüngste Welle von Aktionen die staatlich geförderten Akteure dazu veranlasst, voraussichtlich zu einem anderen verdeckten Netzwerk zu wechseln, um ihre strategischen Ziele zu erreichen.
Ein großer Prozentsatz aller weltweit eingesetzten Netzwerkgeräte funktioniert einwandfrei, wird jedoch nicht mehr unterstützt“, sagte English. „Endbenutzer haben eine schwierige finanzielle Entscheidung zu treffen, wenn ein Gerät diesen Punkt erreicht, und viele wissen nicht einmal, dass ein Router oder eine Firewall das Ende ihrer Unterstützungsdauer erreicht hat.
„Fortgeschrittene Bedrohungsakteure sind sich sehr wohl darüber im Klaren, dass dies ein fruchtbarer Boden für Exploits darstellt. Das Ersetzen nicht unterstützter Geräte ist immer die beste Wahl, aber nicht immer machbar.
„Die Eindämmung erfordert, dass Verteidiger ihre Edge-Geräte zur langen Liste der Geräte hinzufügen, die sie bereits so oft wie möglich patchen und aktualisieren, Geräte neu starten und EDR- oder SASE-Lösungen konfigurieren, sofern verfügbar, und ein Auge auf große Datentransfers aus dem Netzwerk werfen. Bei Bedrohungsakteuren, die von einem nahegelegenen Punkt aus springen können, ist Geofencing keine zuverlässige Verteidigung“.