ADVERTISEMENT
美國司法部表示,中國的 Volt Typhoon 駭客利用了「數百台」舊型的思科和NetGear路由器,這些路由器被惡意軟體感染,駭客試圖以此入侵美國關鍵基礎設施設施。
周二,有新聞報導稱,聯邦政府已經阻止了惡意網路的運行,該網路建立在停產的美國小型辦公室/家庭辦公室路由器上。今天,通過美國德克薩斯州南部地區法院上個月公布的四份逮捕令 (5018、5530、5451 和 5432),我們了解到更多關於聯邦調查局 (FBI) 團隊如何滲透攻擊並獲取關鍵數據,然後再遠端清除KV僵屍網路的細節。
「中國駭客正在將目標對準美國平民關鍵基礎設施,預先定位並在發生衝突時對美國公民和社群造成現實世界的傷害,」聯邦調查局局長克里斯多福·雷 (Christopher Wray) 在一份聲明中表示。「Volt Typhoon 惡意軟體使中國能夠隱藏在網路中,瞄準我們的通訊、能源、交通和水等部門時隱藏起來。」
ADVERTISEMENT
美國聯邦政府聲稱,這些來自中國的駭客將虛擬私人專用網路模組下載到易受攻擊的路由器上,並建立了加密通信管道來控制僵屍網路並隱藏其非法活動。具體來說,我們被告知 Volt Typhoon 使用美國路由器和 IP 地址來攻擊美國關鍵基礎設施。
逮捕令允許執法部門遠端在路由器上安裝軟體,以搜尋、然後沒收或複製有關非法活動的訊息,然後從遠端上清除受感染設備上的惡意軟體。
為了做到這一點,並將警察的搜尋範圍限制在被僵屍網路感染的路由器上,聯邦調查局根據逮捕令向受感染路由器發送了特定的KV僵屍網路指令,以收集「有關這些節點的非內容訊息」。
ADVERTISEMENT
這包括受感染路由器與其他節點通訊的 IP 地址和Port,以及每個節點的父節點使用的 IP 地址和連接埠,以及有關指揮和控制節點的數據。
法庭文件稱,「未被KV僵屍網路惡意軟體感染的路由器不會接收或回應此命令。」
聯邦政府及其在五眼聯盟國家的合作夥伴於 2023 年 5 月首次警告了這種威脅。
ADVERTISEMENT
此外,美國網路安全局和聯邦調查局今天發布了一份警告,敦促製造商消除小型辦公室/家庭辦公室路由器網路管理介面中的缺陷。根據這些機構的說法,這包括自動化更新功能,將網路管理介面放在LAN側連接埠上,並要求手動覆蓋以刪除安全設定。
ADVERTISEMENT