Hacker Cinesi Volt Typhoon Risvegliano Botnet e Minacciano Router Globali

Hacker Cinesi Volt Typhoon Risvegliano Botnet e Minacciano Router Globali

Il gruppo di hacker cinese Volt Typhoon, noto per le sue sofisticate tecniche di infiltrazione, sembra aver riattivato la sua botnet KV nonostante sia stata precedentemente disattivata dalle forze dell’ordine alla fine del 2023. Stando agli specialisti nel campo, il collettivo ha iniziato a concentrare i propri sforzi sui router obsoleti di marchi rinomati come Cisco e Netgear.

La vera identità dei membri di Volt Typhoon rimane avvolta nel mistero, con Cina e Stati Uniti che continuano a puntarsi reciprocamente il dito. Tuttavia, è certo che il gruppo opera con il supporto di un governo e ha già compromesso infrastrutture critiche americane. Nel 2021, il loro modus operandi includeva l’utilizzo di centinaia di router e altri dispositivi sparsi negli USA per camuffare attività malevoli e sfuggire alla rilevazione, come evidenziato in un rapporto di Microsoft del 2023.

Nonostante un’operazione dell’FBI all’inizio del 2024 sia riuscita a smantellare parte della loro botnet e a liberare i dispositivi infetti dal malware di Volt Typhoon, i tentativi degli hacker di ricostruire la loro rete non si sono fermati. SecurityScorecard ha riferito di progressi significativi del gruppo nel recupero della botnet KV, con un focus particolare sui dispositivi Cisco e Netgear legacy già compromessi.

Più di recente, nel settembre 2024, l’attività del gruppo ha mostrato segni di una rinascita, con una nuova rete di dispositivi compromessi provenienti dall’Asia che prendono di mira specificamente i modelli Cisco RV320/325 e Netgear ProSafe. Incredibilmente, Volt Typhoon è riuscito a compromettere circa il 30% di tutti i dispositivi Cisco accessibili via Internet in soli 37 giorni.

I ricercatori ancora non hanno identificato la specifica vulnerabilità sfruttata dagli hacker, ma segnalano che, a causa del termine del ciclo di vita di questi dispositivi, gli aggiornamenti di sicurezza non sono più disponibili. L’obiettivo di Volt Typhoon sembra essere quello di mascherare attività illecite utilizzando un’infrastruttura compromessa ma apparentemente legittima.

È importante notare che i server di controllo della botnet sono posizionati in Digital Ocean, Quadranet e Vultr, e si utilizza anche un dispositivo VPN compromesso situato sull’isola della Nuova Caledonia come ponte per il traffico tra l’Asia-Pacifico e le Americhe.

Per proteggersi, gli esperti consigliano di sostituire i dispositivi più vecchi e non supportati con modelli più recenti, di aggiornare il firmware all’ultima versione disponibile, di posizionare i dispositivi dietro a firewall robusti, di evitare l’accesso remoto ai pannelli di amministrazione da Internet e di cambiare le credenziali di amministrazione predefinite.

La resilienza e l’adattabilità di Volt Typhoon nel mantenere operative le proprie reti botnet enfatizza l’importanza di una vigilanza costante e di misure preventive robuste nel campo della sicurezza informatica. Il fenomeno non mostra segni di rallentamento e richiede un’attenzione costante e rinnovata da parte delle entità coinvolte nella difesa delle infrastrutture informatiche globali.

Cyber Net Now

Cyber Net Now è una rete di professionisti che volontariamente apportano il loro contributo alla divulgazione di notizie e tematiche del mondo della cybersecurity, della sicurezza informatica e della tecnologia, specialmente in Italia.

CATEGORIES
Share This