생성 데이터 인텔리전스

사이버 보안

Fed, Volt Typhoon의 SOHO 봇넷 원격 살해 확인

Plato에 의해 재발행
Plato에 의해 재발행

시간

조회 수 : 0

미국 법 집행 기관은 Volt Typhoon으로 알려진 중국이 후원하는 악명 높은 사이버 공격 그룹의 인프라를 교란했습니다.

FBI 국장이 발표한 지능형지속위협(APT) 크리스토퍼 레이(Christopher Wray)가 이번 주에 이렇게 말했습니다. "이 시대를 대표하는 사이버 위협"으로, 침해를 통해 생성된 광범위한 봇넷을 관리하는 것으로 알려져 있습니다. 제대로 보호되지 않은 소규모 사무실/홈 오피스(SOHO) 라우터. 국가 지원 그룹은 봇넷의 분산 특성으로 인해 활동을 추적하기 어렵기 때문에 특히 미국의 중요 인프라에 대한 다른 공격의 발사대로 이를 사용합니다.

볼트 타이푼(Volt Typhoon) 테이크다운이 보고되었습니다. 이번 주 초 로이터 통신에 따르면 미국 관리들은 단속조치를 확정했습니다 어제 늦게. FBI는 공격자의 명령 및 제어(C2) 네트워크를 모방하여 해당 그룹이 사용하는 'KV 봇넷' 악성코드에 감염된 라우터에 원격 킬 스위치를 보냈다고 발표했습니다.

FBI는 성명에서 “법원이 승인한 작업으로 라우터에서 KV 봇넷 악성 코드를 삭제하고 봇넷을 제어하는 ​​데 사용되는 다른 장치와의 통신을 차단하는 등 봇넷과의 연결을 끊기 위한 추가 조치를 취했습니다”라고 밝혔습니다.

“KV 봇넷을 구성하는 대부분의 라우터는 '수명 종료' 상태에 도달했기 때문에 취약한 Cisco 및 Netgear 라우터였습니다. 즉, 제조업체의 보안 패치나 기타 소프트웨어 업데이트를 통해 더 이상 지원되지 않았습니다."

수백 개의 중소기업이 소유한 엣지 장비에 조용히 접근하는 것은 놀라운 일처럼 보일 수 있지만 연준은 정보에 액세스하지 않았으며 라우터의 합법적인 기능에 영향을 미치지 않았다고 강조했습니다. 그리고 라우터 소유자는 장치를 다시 시작하여 완화 조치를 삭제할 수 있습니다. 하지만 그렇게 하면 재감염될 위험이 있습니다.

볼트 태풍의 산업 난동은 계속될 것이다

Volt Typhoon(일명 Bronze Silhouette 및 Vanguard Panda)은 유틸리티, 에너지 부문 기업, 군사 기지, 통신 회사, 산업 현장에 파괴적이고 파괴적인 공격에 대비하여 거점 악성 코드를 심기 위해 사용됩니다. 목표는 대만이나 남중국해에서 무역 문제가 발생할 경우 미국의 대응 능력을 손상시킬 수 있는 위치에 있는 것이라고 레이와 다른 관리들은 이번 주에 경고했습니다.

성장하고 있다 중국의 일반적인 해킹 및 스파이 작전에서 벗어남. BlueVoyant의 전문 서비스 글로벌 책임자이자 전직 FBI 사이버 부서 특수 요원인 Austin Berglas는 "공익사업 및 물과 같은 중요한 서비스에 초점을 맞춘 사이버 전쟁은 [사이버 스파이 활동과는] 다른 최종 게임을 나타냅니다."라고 말합니다. "더 이상 이점에 중점을 두지 않고 피해와 요새에 중점을 둡니다."

라우터가 다시 시작되면 장치가 재감염될 수 있다는 점과 Volt Typhoon이 중요한 인프라 채석장에 대해 은밀한 공격을 시작할 수 있는 다른 방법이 있다는 점을 고려하면 법적 조치는 APT에 일시적인 중단일 뿐일 것입니다. FBI는 성명에서 이를 인정했다.

Darktrace의 글로벌 위협 분석 책임자인 Toby Lewis는 이메일을 통해 “미국 정부의 조치로 인해 Volt Typhoon의 인프라가 크게 중단되었을 가능성이 높지만 공격자 자신은 자유롭게 남아 있습니다.”라고 말했습니다. "인프라를 표적으로 삼고 공격자의 역량을 해체하는 것은 일반적으로 공격자들이 재구축하고 재조정하는 침묵의 기간으로 이어지는데, 아마도 지금 보게 될 것입니다."

그럼에도 불구하고 좋은 소식은 미국이 현재 중국의 전략과 전술을 '동향'하고 있다는 점이라고 Mandiant Intelligence(Google Cloud)의 부사장인 Sandra Joyce는 말합니다. 이 회사는 혼란에 대해 연준과 협력했습니다. 그녀는 분산 봇넷을 사용하여 활동 소스를 지속적으로 이동하여 레이더를 피하는 것 외에도 Volt Typhoon은 방어자가 네트워크에서 그들을 사냥하는 데 사용하는 서명을 줄이고 잠재적인 바이너리의 사용을 피한다고 말합니다. IoC(침해 지표)로 표시됩니다.  

그럼에도 불구하고 "이와 같은 활동은 추적하기가 매우 어렵지만 불가능한 것은 아닙니다"라고 Joyce는 말합니다. “볼트 타이푼의 목적은 조용히 파고드는 것이었습니다. 그 자체에 관심을 끌지 않고 우발적인 상황을 대비합니다. 다행스럽게도 Volt Typhoon은 눈에 띄지 않았으며 사냥이 어렵더라도 우리는 이미 정보 수집을 개선하고 이 공격자를 저지하기 위해 적응하고 있습니다. 우리는 그들이 오는 것을 보고, 그들을 식별하는 방법을 알고 있으며, 가장 중요한 것은 그들이 목표로 삼고 있는 네트워크를 강화하는 방법을 알고 있다는 것입니다.”

spot_img

최신 인텔리전스

spot_img

저작권 @ 2024 Plato Technologies Inc.