Zum Inhalt springen
Neuer Bericht: Holen Sie sich Ihr Exemplar des State of the Internet Report 2024! | Heute herunterladen
Blogs

Würde der echte Volt-Taifun bitte aufstehen?

Mit Censys können Sie unter anderem verfolgen, wie sich die Infrastruktur eines Bedrohungsakteurs im Laufe der Zeit oder als Reaktion auf externe Ereignisse verändert.

Im Dezember 2023 führte das US Federal Bureau of Investigation (FBI) eine gerichtlich genehmigte Unterbrechung des KV-Botnets durch, indem es eine Remote-Deinstallation der infizierten Systeme in den Vereinigten Staaten durchführte. Das KV-Botnet wird Volt Typhoon zugeschrieben, einer aus der Volksrepublik China stammenden Bedrohungsgruppe, die sich in der Vergangenheit auf kritische Infrastrukturen konzentriert hat. Obwohl diese Störung keine Auswirkungen auf die Kontrollinfrastruktur des Botnets hatte, ist die massenhafte Entfernung von Bots wahrscheinlich eine Möglichkeit, die Botnet-Administratoren zu einer Reaktion zu bewegen.

Trotz der technischen Aufdeckung durch Forscher und der Unterbrechung durch die Strafverfolgungsbehörden ist diese Infrastruktur untypischerweise gleich geblieben und hat nur den Hosting-Anbieter gewechselt. In Anbetracht des Kontrasts zwischen den Aktivitäten von Volt Typhoon in den Zielorganisationen und ihrem Proxy-Netzwerk ist es möglich, dass das KV-Botnet von einer anderen Partei als Volt Typhoon betrieben wird.

Auf der Grundlage von Censys -Scans und Indikatoren, die von Lumen veröffentlicht wurden, konnten wir die Kontrollinfrastruktur des KV-Botnets, insbesondere des JDY-Clusters, bis 2024 darstellen.

2024 Tätigkeit

Der JDY-Cluster wurde erstmals im Jahr 2023 von Lumen beschrieben und zielt vermutlich auf Cisco RV320/RC325-Router für die Botnet-Verbreitung ab. Am 14. November 2023 wurden infizierte Systeme aus diesem Cluster bei der Kommunikation mit neuen Kontrollservern mit einem anderen Zertifikat beobachtet, das "jdyfj" enthält (siehe unten):

Beispiel JDY C2 Server mit einer neuen Zertifikatsvariante

Historische Aufzeichnungen für dieses Zertifikat zeigen die folgenden Hosts, die möglicherweise früher von diesem Akteur verwendet wurden:

IP-Adresse Zertifikat Erstmals gesehen Zertifikat Zuletzt gesehen ASN
45.32.174[.]131 28. Dezember 2023 23. April 2024 AS20473 - CHOOPA, US
45.63.60[.]39 28. Dezember 2023 24. April 2024 AS20473 - CHOOPA, US
159.203.113[.]25 18. November 2023 27. Dezember 2023 AS14061 - DIGITALOCEAN-ASN, US
174.138.56[.]21 17. November 2023 2. Dezember 2023 AS14061 - DIGITALOCEAN-ASN, US
108.61.132[.]157 15. November 2023 18. November 2023 AS20473 - CHOOPA, US
144.202.49[.]189 15. November 2023 27. Dezember 2023 AS20473 - CHOOPA, US

CensysDie Scans zeigen, dass die Server 45.32.174[.]13 und 45.63.60[.]39 (oben gelb hervorgehoben) nach den Strafverfolgungsmaßnahmen wahrscheinlich als Reaktion auf die Störungsbemühungen online gestellt wurden. Im April 2024 wurden diese Server wahrscheinlich auf die Infrastruktur migriert, die derzeit dieses Zertifikat hostet. Bemerkenswert ist, dass die derzeitigen Hoster bei jedem Serverumzug einen anderen Hosting-Anbieter verwendet haben (siehe Tabelle oben), möglicherweise um die Auswirkungen künftiger Störungen zu verringern.

Das Forschungsteam von Censys hat drei Hosts identifiziert, die dieses Zertifikat derzeit nutzen (SHA256 Hash: 2b640582bbbffe58c4efb8ab5a0412e95130e70a587fd1e194fbcd4b33d432cf):

IP-Adresse Zertifikat Erstmals gesehen Zertifikat Zuletzt gesehen ASN
2.58.15[.]30 16. April 2024 6. Januar 2025 AS199959 - CrownCloud, AU
66.85.27[.]190 16. April 2024 7. Januar 2025 AS8100 - Quadranet
172.233.211[.]226 25. November 2024 7. Januar 2025 AS63949 - AKAMAI-LINODE-AP Akamai Connected Cloud, SG 

Überlegungen zur Zurechnung

Der erste öffentliche Bericht von Microsoft beschreibt Volt Typhoon als einen technisch hochentwickelten Bedrohungsakteur, der mit einem minimalen Toolkit arbeitet und sich auf die Tarnung konzentriert. Nach der technischen Aufdeckung durch Forscher und der Unterbrechung durch Strafverfolgungsbehörden haben die Betreiber des KV-Botnets jedoch keine nennenswerten Maßnahmen ergriffen, um ihre Kontrollinfrastruktur zu verbergen, abgesehen von der Migration zu neuen Hosting-Anbietern. Dieser bemerkenswerte Unterschied wirft die Frage nach der Art der Beziehung zwischen den Volt Typhoon-Aktivitäten gegen Zielnetzwerke und dem KV Botnet auf.

Über den Autor

Silas Cutler Kopfsprung
Silas Cutler
Leitender Sicherheitsforscher
Silas Cutler ist Principal Security Researcher bei Censys und verfügt über mehr als ein Jahrzehnt Erfahrung im Aufspüren von Bedrohungsakteuren und in der Entwicklung von Methoden zur Verfolgung. Vor Censys arbeitete er als Resident Hacker für Stairwell, Reverse Engineering Lead für Google Chronicle und als Senior Security Researcher im Intelligence-Team von CrowdStrike. Seit 2021 spielt er eine aktive Rolle beim Vorantreiben der Initiativen der Ransomware Task Force zur Förderung der Zusammenarbeit zwischen dem öffentlichen und privaten Sektor.
Lösungen für das Management von Angriffsflächen
Mehr erfahren