Хакери з угруповання Volt Typhoon, яких команда безпеки Black Lotus Labs пов’язує з китайським урядом, почали атакувати роутери класу SOHO і призначені для користувача VPN-клієнти за допомогою складного і «невловимого» ботнету KV-botnet.

Ботнет орієнтований на шпигунство і збір інформації. Як зазначають експерти у квартальному звіті, активність ботнету значно зросла із серпня 2023 року, потім просіла, а у середині листопада знову зросла. Останні атаки відбулися 5 грудня, спричинивши серйозний збій у користувацькій інфраструктурі.

Хакери пішли не найскладнішим шляхом: ботнет атакує переважно маршрутизатори з вичерпаним терміном служби, що використовуються малими і домашніми офісами (звідси і класифікація пристроїв), які не підтримують надійну систему безпеки. Ботнет націлений на архітектури ARM, MIPS, MIPSEL, x86₆₄, i686, i486 і i386.

Спочатку атаки були зосереджені на пристроях Cisco RV320, DrayTek Vigor, міжмережевих екранах NETGEAR ProSAFE, але пізніше ПЗ «нацькували» і на IP-камери Axis. В такому випадку KV-botnet просто зупиняє певні процеси і видаляє інструменти безпеки, що працюють на зараженому пристрої.

Источник: noworries.news