Новости JDYFJ: китайские хакеры контролируют 30% устройств Cisco

vaspvort

Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Регистрация
10/4/18
Сообщения
5.035
Репутация
9.858
Реакции
15.171
RUB
1.045
Сделок через гаранта
18
Китайская хакерская группа Volt Typhoon снова активизировалась и начала восстанавливать свой ботнет KV-Botnet, который был правоохранительными органами США. По SecurityScorecard, группа уже 5 лет занимается кибершпионажем и атакует важные объекты в США и других странах.

Хакеры Volt Typhoon используют уязвимые устройства — маршрутизаторы и сетевые камеры, такие как Netgear ProSAFE, Cisco Systems, Inc. - американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Стремится представить полный спектр сетевого оборудования, и таким образом предоставить возможность клиенту закупить абсолютно все необходимое сетевое оборудование.

Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами.Cisco RV320 и Axis IP-камеры. Киберпреступники устанавливают вредоносное ПО, которое помогает скрыто подключаться к целевым сетям и сохранять доступ.

В январе 2024 года американские власти смогли временно остановить деятельность группы, очистив заражённые устройства от вредоносного ПО. Но уже в августе появились признаки, что хакеры вернулись, новую уязвимость.

По последним данным, Volt Typhoon снова взялась за работу и начала восстанавливать ботнет, используя устаревшие маршрутизаторы Cisco и Netgear. За чуть больше месяца хакерам удалось заразить значительное количество устройств. Они используют вредоносное ПО на базе MIPS и веб-оболочки, которые работают на нестандартных портах, что усложняет обнаружение.

С сентября хакеры активно взламывают устройства в Азии и создают новую сеть заражённых устройств. Компания SecurityScorecard, основанная в 2013 году, занимается вопросами кибербезопасности и специализируется на оценке рисков и уязвимостей в сетевых и информационных системах организаций. Основная идея продуктов компании заключается в том, чтобы предоставлять организациям оценки (или «карточки оценок») безопасности, которые помогают понять и улучшить их кибербезопасность. Эти оценки основаны на различных факторах, включая уязвимости, утечки данных, нарушения комплаенса и другие параметры безопасности.

SecurityScorecard использует мощные аналитические инструменты и большие объемы данных для обеспечения точности и актуальности своих оценок. Компания обслуживает широкий спектр клиентов, включая крупные корпорации, государственные учреждения и небольшие предприятия, помогая им оценить и улучшить свою кибербезопасность. SecurityScorecard дала ботнету другое название — «JDYFJ Botnet», по самоподписанному SSL-сертификату, который обнаружили на заражённых устройствах. Основная цель — устройства Cisco RV320/325 и Netgear ProSafe.

За 37 дней Volt Typhoon смогла заразить почти 30% всех доступных в интернете устройств Cisco RV320/325. Эксперты пока не могут точно сказать, какие именно уязвимости используются, но предполагают, что проблема в том, что для устаревших устройств больше нет обновлений.

f6st2usy7kzd90cuq79wipbvhxu5xv1b.png


Заражения Volt Typhoon

C2-серверы ботнета регистрируются на платформах Digital Ocean, Quadranet и Vultr, что помогает группе создавать более устойчивую сеть. Также хакеры используют взломанное VPN-устройство на острове Новая Каледония для скрытого перенаправления трафика между регионами Азии и Америки.

Специалисты считают, что выбор такого устройства связан с его удобным географическим расположением, что затрудняет отслеживание хакеров. Несмотря на то, что сейчас ботнет Volt Typhoon менее масштабен, чем раньше, хакеры продолжают развивать свои атаки.

Для защиты от таких угроз эксперты рекомендуют заменить старые маршрутизаторы на новые модели, устанавливать их за межсетевыми экранами, закрывать удалённый доступ к настройкам и менять стандартные пароли администраторов. Если используются современные устройства, важно регулярно обновлять прошивку, чтобы устранить уязвимости.

 
  • Теги
    cisco
  • Сверху Снизу