KV-Botnet-Betreiber wehren sich nach FBI-Razzia mit neuer Taktik
Das FBI war letzten Dezember optimistisch, dass es gelungen war, das KV-Botnet zu zerschlagen. Das Netzwerk wurde von chinesischen Volt-Taifun-Hackern genutzt, um sich bei Angriffen auf kritische US-Infrastrukturen der Entdeckung zu entziehen. Die Bedrohungsakteure hinter dem KV-Botnet nahmen nun allerdings "Verhaltensänderungen" an ihrem Botnet vor – ziemlich genau zu dem Zeitpunkt, da die US-Strafverfolgungsbehörden begannen, Befehle zur Neutralisierung der Aktivitäten in das Netz zu senden.
Das KV-Botnet ist ein Netzwerk von gehackten Routern und Firewall-Geräten, die in kleinen Büros und Heimbüros auf der ganzen Welt verwendet werden. Ein bestimmter Teil dieses Netzwerks dient als verdecktes Datenübertragungssystem für vom chinesischen Staat unterstützte Akteure wie Volt Typhoon (auch bekannt als Bronze Silhouette, Insidious Taurus oder Vanguard Panda). Seit Februar 2022 aktiv, wurde es erstmals Mitte Dezember 2023 von den Black Lotus Labs bei Lumen Technologies entdeckt.
Das Botnet besteht aus den Hauptgruppen KV und JDY, wobei JDY hauptsächlich zum Scannen potenzieller Ziele verwendet wird. Die US-Regierung gab Ende Dezember bekannt, dass sie einen gerichtlich autorisierten Schlag gegen das KV-Cluster des Botnets in die Wege geleitet hat. Dieses wurde normalerweise für manuelle Angriffe gegen hochrangige Ziele verwendet, nachdem ein breiterer Scan mit JDY eine Vorauswahl geliefert hat.
Neue Erkenntnisse von Lumen zeigen, dass der JDY-Cluster für etwa fünfzehn Tage zum Schweigen gebracht wurde, nachdem die Meldung veröffentlicht wurde, beziehungsweise schon eher, als das FBI seine Nachforschungen begann. „Mitte Dezember 2023 beobachteten wir, dass sich dieser Aktivitätscluster um 1.500 aktive Bots herum bewegte“, so Lumen Sicherheitsforscher Ryan English. „Als wir Mitte Januar 2024 eine Stichprobe der Größe dieses Clusters durchführten, war er auf etwa 650 Bots geschrumpft“.
In Anbetracht der Tatsache, dass die Takedown-Aktionen mit einem unterzeichneten Haftbefehl vom 6. Dezember 2023 begannen, kann man davon ausgehen, dass das FBI irgendwann an oder nach diesem Datum mit der Übermittlung von Befehlen an Router in den USA begann, um die Nutzlast des Botnetzes zu löschen und eine erneute Infektion zu verhindern.
„Wir haben beobachtet, dass die Betreiber des KV-Botnetzes mit der Umstrukturierung begonnen haben und am 8. Dezember 2023 acht Stunden am Stück aktiv waren, am darauffolgenden Tag, dem 9. Dezember 2023, fast zehn Stunden, gefolgt von einer Stunde am 11. Dezember 2023“, so Lumen. Während dieser Zeit interagierten die Bedrohungsakteure mit 3.045 einmaligen IP-Adressen, die zu verschiedenen Geräten gehörten, darunter NETGEAR ProSAFEs, Cisco RV320/325 und Axis IP-Kameras.
Anfang Dezember 2023 wurde außerdem ein massiver Anstieg der Ausnutzungsversuche vom Nutzlastserver beobachtet, was darauf hindeutet, dass der Angreifer wahrscheinlich versuchte, die Geräte erneut anzugreifen, als er bemerkte, dass seine Infrastruktur offline ging. Lumen hat nach eigenen Angaben auch Schritte unternommen, um einen anderen Satz von Backup-Servern, der etwa zur gleichen Zeit in Betrieb genommen wurde, aus dem Verkehr zu ziehen.
Die Betreiber des KV-Botnetzes sind bekannt dafür, dass sie ihre eigenen Erkundungs- und Zielübungen durchführen und gleichzeitig mehrere Gruppen wie Volt Typhoon unterstützen. Interessanterweise korrelieren die Zeitstempel, die mit der Ausnutzung der Bots in Verbindung gebracht werden, mit den Arbeitszeiten in China.
Danny Adamitis, leitender Ingenieur für Informationssicherheit bei Black Lotus Labs, erklärt: „Unsere Telemetriedaten zeigen, dass es administrative Verbindungen zu den bekannten Payload-Servern von IP-Adressen gab, die mit China Telecom verbunden sind.“
Das US-Justizministerium beschreibt das Botnetz in seiner Presseerklärung als kontrolliert von „staatlich geförderten Hackern der Volksrepublik China (VRC)“. Deshalb spekuliert Adamitis: „Dies legt nahe, dass das Botnetz von einer Organisation aufgebaut wurde, welche die Hacker von Volt Typhoon lediglich unterstützt. Wenn Volt Typhoon selbst das Botnetz errichtet hätte, hätte das Ministerium wahrscheinlich von ’nationalstaatlichen‘ Akteuren gesprochen.“
Es gibt Hinweise darauf, dass die Bedrohungsakteure möglicherweise bereits im Januar 2023 ein weiteres verwandtes Botnetz namens x.sh eingerichtet haben, das aus infizierten Cisco-Routern besteht und eine Web-Shell namens „fys.sh“ verwendet.
Aber das KV-Botnetz ist nur „eine Form der Infrastruktur von mehreren, die von Volt Typhoon genutzt wird, um ihre Aktivitäten zu verschleiern“. Deshalb wird erwartet, dass die kürzlich beobachteten Aktionen die APT-Akteure (Advanced Persistent Threats) dazu bringen könnten, auf ein anderes verdecktes Netzwerk auszuweichen, um ihre strategischen Ziele zu erreichen.
„Viele Netzwerkgeräte weltweit funktionieren zwar noch einwandfrei, werden aber von den Herstellern nicht mehr mit Updates versorgt“ so Ryan English. „Wenn ein Gerät diesen Punkt erreicht, stehen Endbenutzer vor einer schwierigen finanziellen Entscheidung. Allerdings ist vielen nicht einmal bewusst, dass ein Router oder eine Firewall keinen Support mehr erhalten. Versierte Bedrohungsakteure wissen, dass solche Geräte ein attraktives Angriffsziel darstellen. Der Austausch solcher alten, nicht mehr unterstützter Geräte ist natürlich immer die beste Option – aber eben nicht immer umsetzbar.“
Um sich zu verteidigen, sollten Unternehmen ihre Edge-Geräte regelmäßig patchen und aktualisieren, neu starten und bei Bedarf EDR- oder SASE-Lösungen konfigurieren. Es ist wichtig, verdächtige Datenübertragungen im Netzwerk zu überwachen und nicht ausschließlich auf Geofencing zu setzen, da Bedrohungsakteure von nahegelegenen Punkten aus eindringen können.