FBI e Dipartimento della Giustizia hanno smantellano la botnet creata dal gruppo Volt Typhoon per colpire le infrastrutture critiche degli Stati Uniti. I cybercriminali hanno usato centinaia di router SOHO (Small Office Home Office) per nascondere la provenienza degli attacchi. La CISA (Cybersecurity and Infrastructure Security Agency) invita i produttori ad aggiornare i dispositivi di rete per eliminare le vulnerabilità.
Interrotto il collegamento con la botnet
Volt Typhoon è un gruppo di cybercriminali finanziato dal Partito Comunista Cinese. I primi attacchi sono stati rilevati nel mese di maggio 2023. La botnet era stata creata infettando modem, router e altri dispositivi di rete con varie vulnerabilità.
Dopo aver ottenuto l’autorizzazione dal giudice, gli esperti dell’FBI e del Dipartimento di Giustizia hanno interrotto il collegamento con la botnet, cancellando il client installato sui dispositivi. Questa soluzione è stata già utilizzata durante altre indagini. I router non sono stati usati solo per colpire direttamente le infrastrutture critiche con attacchi DDoS, ma anche per nascondere la provenienza del traffico.
Quando è stato reso pubblico l’attacco di maggio, un portavoce del Ministero degli esteri cinese ha dichiarato che le accuse erano solo una campagna di disinformazione orchestrata dai paesi Five Eyes (Stati Uniti, Regno Unito, Canada, Australia e Nuova Zelanda). Molti router vulnerabili erano prodotti da Netgear e Cisco, ma non hanno ricevuto aggiornamenti di sicurezza perché non più supportati. Gli utenti dovrebbero quindi sostituirli con modelli più recenti.
La CISA ha invitato i produttori a risolvere le vulnerabilità nell’interfaccia di gestione web, impedire l’accesso all’interfaccia da remoto e implementare gli aggiornamenti automatici.
Aggiornamento (15/11/2024): secondo i ricercatori di SecurityScorecard, Volt Typhoon ha iniziato a ricostruire la botnet sfruttando vulnerabilità dei router Cisco e Netgear.
Ti potrebbe interessare
31 gen 2024