Die US-Regierung hat Schritte unternommen, um ein Botnetz namens KV-Botnet zu neutralisieren, das aus Hunderten von in den USA ansässigen Small Office und Home Office (SOHO) Routern besteht, die von einer mit China verbundenen staatlich unterstützten Bedrohungsakteurin namens Volt Typhoon übernommen wurden. Das Bestehen des Botnetzes wurde erstmals Mitte Dezember 2023 vom Team Black Lotus Labs bei Lumen Technologies bekannt gegeben. Der rechtliche Einsatz wurde Anfang dieser Woche von Reuters gemeldet.
Laut dem US-Justizministerium (DoJ) waren die meisten Router, die das KV-Botnetz ausmachten, Cisco- und NetGear-Router, die anfällig waren, weil sie den Status „End of Life“ erreicht hatten, das heißt, sie wurden nicht mehr durch Sicherheitspatches oder andere Softwareaktualisierungen des Herstellers unterstützt.
Volt Typhoon (auch bekannt als DEV-0391, Bronze Silhouette, Insidious Taurus oder Vanguard Panda) ist der Name einer chinesischen Gegnergruppe, der Cyberangriffe auf kritische Infrastruktursektoren in den USA und Guam zugeschrieben werden. Die Gruppe hat sich auf legitime Werkzeuge und Techniken des sogenannten Living-off-the-Land (LotL) spezialisiert, um unerkannt zu bleiben und sensible Informationen zu sammeln. Eine wichtige Taktik ist es, den Netzwerkverkehr durch kompromittierte SOHO-Netzwerkausrüstungen zu leiten, um ihre Herkunft zu verschleiern.
Das KV-Botnetz verwendet Geräte von Cisco, DrayTek, Fortinet und NETGEAR, um ein verdecktes Datenübertragungsnetzwerk für fortschrittliche anhaltende Bedrohungsakteure zu schaffen. Es wird vermutet, dass die Betreiber des Botnetzes ihre Dienste auch anderen Hacking-Gruppen, einschließlich Volt Typhoon, anbieten.
Um das Botnetz zu stören, hat die US-Bundespolizei FBI Befehle an verwundbare Router in den USA gesendet, um die KV-Botnetz-Payload zu löschen und eine erneute Infektion zu verhindern. Die Opfer wurden über die Operation informiert. Es ist jedoch wichtig zu beachten, dass die verwendeten Präventionsmaßnahmen vorübergehend sind und nach einem Neustart der Geräte nicht überleben.
Zusätzlich zur Abschaltung des Botnetzes hat die US-Cybersicherheits- und Infrastrukturbehörde (CISA) neue Leitlinien veröffentlicht, in denen Hersteller von SOHO-Geräten aufgefordert werden, einen sicheren Entwurf zu verfolgen und die Verantwortung von den Kunden zu übernehmen. Sie empfiehlt insbesondere, ausnutzbare Mängel in den SOHO-Router-Webverwaltungsschnittstellen zu beseitigen und Standardgerätekonfigurationen so anzupassen, dass automatische Aktualisierungsfunktionen unterstützt werden und zum Entfernen von Sicherheitseinstellungen eine manuelle Übersteuerung erforderlich ist.
Der Vorfall verdeutlicht das wachsende Problem der Kompromittierung von Edge-Geräten wie Routern für fortschrittliche anhaltende Angriffe, die von Russland und China durchgeführt werden. Besonders problematisch ist, dass veraltete Geräte keine Sicherheitspatches mehr erhalten und keine Endpunkt-Erkennungs- und -Reaktionslösungen unterstützen. CISA betont, dass Produkte, die angemessene Sicherheitskontrollen vermissen lassen, in der aktuellen Bedrohungsumgebung inakzeptabel sind und realen Schaden sowohl für Kunden als auch für die nationale kritische Infrastruktur verursachen können.