Çin Bağlantılı KV-Botnet, Cisco, DrayTek, ve Fortinet Cihazları Üzerinden Gizli Saldırılar Gerçekleştiriyor

Siber güvenlik uzmanları, Çin bağlantılı bir tehdit aktörü tarafından yönetilen ve Cisco, DrayTek, Fortinet ve NETGEAR gibi güvenlik duvarları ile yönlendiricileri hedef alan yeni bir KV-Botnet’in varlığını tespit etti. Lumen Technologies’ın Black Lotus Labs ekibi tarafından keşfedilen bu kötü amaçlı ağ, Şubat 2022’den beri en az iki ayrı etkinlik kümesinin birleşimi olarak faaliyet gösteriyor.

KV-botnet, ağ kenarındaki cihazları etkileyerek özellikle uzaktan çalışma ortamlarında zayıf noktaları hedef alıyor. İki farklı kümeye ait olan KV ve JDY’nin, yüksek profilli kurbanlara erişimi kolaylaştırmak ve gizli altyapı oluşturmak için birlikte çalıştığı belirtiliyor. Telemetri verileri, botnet’in Çin merkezli IP adreslerinden kontrol edildiğini gösteriyor.

JDY’nin bot kısmı geniş tarama gerçekleştirirken, KY bileşeni daha önceki ürünleri hedef alarak manuel operasyonlar için ayrılmış durumda. KV-botnet’in, Volt Typhoon adlı gelişmiş bir tehdit aktörünün en az bir kullanıcısı olduğuna dair şüpheler bulunuyor. Haziran ve Temmuz 2023’teki operasyonlarda gözle görülür bir düşüş, botnet’in operasyonel altyapısının bir alt kümesini kapsadığını gösteriyor. Bu dönemde düşman kolektifin ABD’deki kritik altyapıyı hedef aldığına dair belirtiler bulunuyor.

Microsoft, tehdit aktörünün taktiklerini açığa çıkararak, yönlendirme yoluyla normal ağ etkinliğine karışma girişiminde bulunduğunu belirtti. KV-botnet, güvenlik duvarları, yönlendiriciler ve VPN donanımı gibi güvenlik ihlal edilmiş küçük ofis ve ev ofisi (SOHO) ağ ekipmanları üzerinden trafiği yönlendirmeye çalışıyor.

Şu anda cihazlara sızmak için kullanılan tam başlangıç enfeksiyon mekanizması bilinmemekle birlikte, botnet, güvenlik programlarını etkisiz hale getirip kendi varlığını sağlamak amacıyla adımlar atıyor. Botnet, dosyaları yükleme ve indirme, komutları çalıştırma ve ek modülleri yürütme yeteneğine sahip uzak bir sunucudan ana veri yükünü almak üzere tasarlanmıştır.

Araştırmacılar, botnet’in tüm araçlarının bellekte saklandığını belirtiyor ve bu durumun tespiti son derece zorlaştırdığını vurguluyor. Volt Typhoon’un geçen yıl ABD’deki elektrik ve su tesisleri gibi kritik kuruluşlara sızdığının ortaya çıkmasıyla birlikte, uzmanlar yeni saldırı dalgalarına karşı uyarıda bulunuyorlar.

Bu kampanya, bilgisayar korsanlarının izlerini gizlemek için ev veya ofis yönlendiricileri gibi zararsız cihazları kullanma eğiliminde olduğunu gösteriyor.