FBI ขัดขวางการโจมตีของ Chinese Botnet ด้วยการจัดการ Router ที่ติด malware
FBI ได้ขัดขวางการโจมตีของ KV Botnet ที่ถูกใช้โดย Volt Typhoon ซึ่งเป็นกลุ่มที่ได้รับการสนันสนุนจากรัฐบาลจีน เพื่อหลบเลี่ยงการตรวจจับระหว่างการโจมตี โดยมีเป้าหมายการโจมตีไปยังโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ
กลุ่ม Hacker ในชื่อ Bronze Silhouette ได้ใช้ Botnet ดังกล่าวเพื่อควบคุมอุปกรณ์ small office/home offices (SOHO) หลายร้อยแห่งทั่วสหรัฐอเมริกา และผสมผสานเข้ากับการรับส่งข้อมูลเครือข่ายที่ถูกกฎหมายเพื่อหลีกเลี่ยงการถูกตรวจจับ โดยอุปกรณ์ที่ถูกโจมตี และติดตั้ง Botnet ได้แก่ Netgear ProSAFE, Cisco RV320s, DrayTek Vigor router และ Axis IP camera ตามรายงานของทีมงาน Black Lotus Labs ของ Lumen Technologies ที่ได้พบความเชื่อมโยงไปยังการโจมตีของกลุ่ม Hacker จากจีนในเดือนธันวาคม 2024
รวมถึงจากรายงาน SecurityScorecard พบว่าในเดือนมกราคม 2024 กลุ่ม Volt Typhoon สามารถโจมตี และควบคุมอุปกรณ์ Cisco RV320/325 ไปประมาณ 30% ของอุปกรณ์ทั้งหมดที่ออนไลน์อยู่ ในเวลาเพียงเดือนกว่า
โดยในวันที่ 6 ธันวาคม 2023 ทาง FBI ได้เริ่มดำเนินการปิดระบบ Volt Typhoon บนระบบเครือข่ายภายหลังจากได้รับคำยืนยันจากคำสั่งศาลให้สามารถทำการถอน Botnet ออกจาก Router ที่ถูกควบคุม รวมถึงปิดช่องการเข้ามาของ Botnet เพื่อป้องกันการโจมตีเพิ่มเติม ผ่าน command-and-control (C2) server ที่ทาง FBI สามารถยึดมาได้
ผู้ผลิตอุปกรณ์แจ้งเตือนผู้ใช้งานให้ป้องกัน SOHO router
CISA และ FBI ได้ออกคำแนะนำสำหรับผู้ผลิต SOHO router เพื่อมั่นใจว่าอุปกรณ์จะไม่ถูกโจมตีจากกลุ่ม Volt Typhoon
โดยแนะนำให้ทำการอัปเดตความปลอดภัยอัตโนมัติ และการอนุญาตให้เข้าถึง web management interface จาก LAN เท่านั้น
จากรายงานของ Microsoft ในเดือนพฤษภาคม 2023 เปิดเผยว่ากลุ่ม Volt Typhoon ได้กำหนดเป้าหมายการโจมตีไปยังองค์กรโครงสร้างพื้นฐานที่สำคัญของสหรัฐอเมริกาตั้งแต่ปี 2021 และพบการแอบแฝงการถ่ายโอนข้อมูลของกลุ่ม KV Botnet ในการโจมตีองค์กรต่าง ๆ มากมายตั้งแต่เดือนสิงหาคม 2022 รวมถึงองค์กรทางทหารของสหรัฐฯ ผู้ให้บริการโทรคมนาคม และอินเทอร์เน็ต และบริษัทพลังงานทดแทนของยุโรป
ที่มา : BLEEPINGCOMPUTER
You must be logged in to post a comment.