Mit Censys können Sie unter anderem verfolgen, wie sich die Infrastruktur eines Bedrohungsakteurs im Laufe der Zeit oder als Reaktion auf externe Ereignisse verändert.
Im Dezember 2023 führte das US Federal Bureau of Investigation (FBI) eine gerichtlich genehmigte Unterbrechung des KV-Botnets durch, indem es eine Remote-Deinstallation der infizierten Systeme in den Vereinigten Staaten durchführte. Das KV-Botnet wird Volt Typhoon zugeschrieben, einer aus der Volksrepublik China stammenden Bedrohungsgruppe, die sich in der Vergangenheit auf kritische Infrastrukturen konzentriert hat. Obwohl diese Störung keine Auswirkungen auf die Kontrollinfrastruktur des Botnets hatte, ist die massenhafte Entfernung von Bots wahrscheinlich eine Möglichkeit, die Botnet-Administratoren zu einer Reaktion zu bewegen.
Trotz der technischen Aufdeckung durch Forscher und der Unterbrechung durch die Strafverfolgungsbehörden ist diese Infrastruktur untypischerweise gleich geblieben und hat nur den Hosting-Anbieter gewechselt. In Anbetracht des Kontrasts zwischen den Aktivitäten von Volt Typhoon in den Zielorganisationen und ihrem Proxy-Netzwerk ist es möglich, dass das KV-Botnet von einer anderen Partei als Volt Typhoon betrieben wird.
Auf der Grundlage von Censys -Scans und Indikatoren, die von Lumen veröffentlicht wurden, konnten wir die Kontrollinfrastruktur des KV-Botnets, insbesondere des JDY-Clusters, bis 2024 darstellen.
2024 Tätigkeit
Der JDY-Cluster wurde erstmals im Jahr 2023 von Lumen beschrieben und zielt vermutlich auf Cisco RV320/RC325-Router für die Botnet-Verbreitung ab. Am 14. November 2023 wurden infizierte Systeme aus diesem Cluster bei der Kommunikation mit neuen Kontrollservern mit einem anderen Zertifikat beobachtet, das "jdyfj" enthält (siehe unten):

Beispiel JDY C2 Server mit einer neuen Zertifikatsvariante
CensysDie Scans zeigen, dass die Server 45.32.174[.]13 und 45.63.60[.]39 (oben gelb hervorgehoben) nach den Strafverfolgungsmaßnahmen wahrscheinlich als Reaktion auf die Störungsbemühungen online gestellt wurden. Im April 2024 wurden diese Server wahrscheinlich auf die Infrastruktur migriert, die derzeit dieses Zertifikat hostet. Bemerkenswert ist, dass die derzeitigen Hoster bei jedem Serverumzug einen anderen Hosting-Anbieter verwendet haben (siehe Tabelle oben), möglicherweise um die Auswirkungen künftiger Störungen zu verringern.
Das Forschungsteam von Censys hat drei Hosts identifiziert, die dieses Zertifikat derzeit nutzen (SHA256 Hash: 2b640582bbbffe58c4efb8ab5a0412e95130e70a587fd1e194fbcd4b33d432cf):
Überlegungen zur Zurechnung
Der erste öffentliche Bericht von Microsoft beschreibt Volt Typhoon als einen technisch hochentwickelten Bedrohungsakteur, der mit einem minimalen Toolkit arbeitet und sich auf die Tarnung konzentriert. Nach der technischen Aufdeckung durch Forscher und der Unterbrechung durch Strafverfolgungsbehörden haben die Betreiber des KV-Botnets jedoch keine nennenswerten Maßnahmen ergriffen, um ihre Kontrollinfrastruktur zu verbergen, abgesehen von der Migration zu neuen Hosting-Anbietern. Dieser bemerkenswerte Unterschied wirft die Frage nach der Art der Beziehung zwischen den Volt Typhoon-Aktivitäten gegen Zielnetzwerke und dem KV Botnet auf.