微软曾揭露中国骇客组织Volt Typhoon的攻击模式,先入侵路由器、防火墙及VPN等网路装置,将恶意流量掺杂在合法流量中以免被发现。攻击对象涵盖美国与关岛的关键基础设施,目的是进行间谍行动。(图片来源/微软)
美国司法部周三(1/31)宣布,已破坏由中国骇客Volt Typhoon所挟持的僵尸网路KV Botnet,该网路主要由老旧的思科及NetGear的数百台路由器所组成,被骇客用来渗透美国的基础设施,在去年12月取得法院的授权之后,美国联邦调查局(FBI)已自远端删除这些受骇装置中的恶意程式。
骇客借由入侵大量的IoT装置来建置可自远端操控的僵尸网路,众多皆知这些僵尸网路可能被用来展开分散式服务阻断攻击,但除此之外它们还可被用来窃取资料、散布垃圾讯息,或是允许骇客渗透这些装置所连结的网路。
微软去年5月便已揭露Volt Typhoon的攻击行为,指称此一中国骇客组织先入侵了路由器、防火墙及VPN等网路装置,将恶意流量掺杂在合法流量中以免被发现。攻击对象涵盖美国与关岛的重大基础设施,涵盖通讯、制造、公用、运输、建造、海洋、政府、资讯科技及教育类别等,目的是为了进行间谍行动。
美国国土安全部网路安全与基础设施安全局(CISA)局长Jen Easterly指出,Volt Typhoon正在深入美国的重大基础设施,准备在美国发生重大危机或是冲突时发动破坏性的网路攻击,可能是破坏美国的天然气管道,污染水利设施,切断电信网路,或是瘫痪交通系统。
Easterly强调,目前美国已经根除了Volt Typhoon对美国重大基础设施的已知入侵,但所发现的或许只是冰山一角。
根据调查,KV Botnet主要由思科及NetGear的老旧路由器所组成,由于相关装置的生命周期多已结束,而不再收到更新或安全修补,而成为骇客攻占的首选。由美国法院授权的行动则允许FBI自远端删除感染相关装置的恶意程式,同时采取额外措施来切断僵尸网路的连线,包括封锁该僵尸网路与控制装置之间的连结。
此一操作并不会影响被骇装置的合法功能,也不会搜集被骇装置的资讯,不过,法院所授权的、切断路由器与KV Botnet之间连结或避免再次感染的方法是暂时性的,只要重新启动路由器就又会回到容易遭到感染的状态。FBI正在通知被骇装置的所有人,同时附上由法院许可的行动命令。