В декабре 2023 года Федеральное бюро расследований (ФБР) США уничтожило ботнет KV, принадлежащий к бот-группе Volt Typhoon из Китая. Хотя уничтожение ботнета не повлияло на его инфраструктуру управления, массовое удаление ботов могло вызвать реакцию операторов.
Volt Typhoon
Несмотря на то, что исследователи и правоохранительные органы активно пресекали деятельность бот-сети, ее инфраструктура не претерпела существенных изменений, за исключением смены хостинг-провайдеров. Возможно, ботнет KV не управляется группой Volt Typhoon, а другой стороной.
С помощью Censys и Lumen удалось составить карту инфраструктуры ботнета KV, в частности кластера JDY до 2024 года. Кластер JDY замечен впервые в 2023 году и направлен на устройства маршрутизации Cisco RV320/RC325 для распространения ботнета. В ноябре 2023 года обнаружена связь зараженных систем из этого кластера с новыми серверами управления, содержащими новый сертификат. Исторические данные свидетельствуют о смене серверов и хостинг-провайдеров. На текущий момент используется сертификат, связанный с тремя IP-адресами.
Тем не менее, разрушение инфраструктуры ботнета KV и пресекание его деятельности не повлекли значительных изменений в подходах операторов по сокрытию инфраструктуры. Бот-группа Volt Typhoon описывается как технически сложный угрожающий агент, однако после раскрытия и пресечения его деятельности он не принял никаких значительных мер для сокрытия своей инфраструктуры управления, кроме смены хостинг-провайдеров.
Indicators of Compromise
IPv4
- 108.61.132.157
- 144.202.49.189
- 159.203.113.25
- 172.233.211.226
- 174.138.56.21
- 2.58.15.30
- 45.32.174.13
- 45.32.174.131
- 45.63.60.39
- 66.85.27.190
SHA256
- 2b640582bbbffe58c4efb8ab5a0412e95130e70a587fd1e194fbcd4b33d432cf