与Volt Typhoon关键基础设施漏洞相关的路由器僵尸网络 媒体

中国威胁组织 Volt Typhoon 利用路由器建立复杂的僵尸网络

关键要点

Volt Typhoon 这一中国威胁组织在今年早些时候的一项重大行动中，悄然利用由不安全的家庭和小型企业路由器构建的复杂僵尸网络进行数据传输，针对美国的关键基础设施。这个行动引起了情报界的高度警觉，尤其是在五月首次被报告时，因为其攻击的广泛性和潜在影响。

多个行业的组织，包括政府、国防、通信、信息技术和公用事业，都成为了攻击的目标。其中的一名受害者是一家位于美国领土关岛的关键基础设施组织。人们担心，这一安全漏洞可能是针对南海附近美国军事能力的一次攻击的前兆。

KVbotnet：由过时路由器构成的僵尸网络

Lumen Technologies 在 12 月 13 日的发布中，提到其 Black Lotus Labs 部门在发现这些攻击后，找出了 Volt Typhoon 及可能其他高级持续性威胁APT行为者使用的僵尸网络，用于数据传输。

该僵尸网络被称为 KVbotnet，主要由思科、DrayTek 和 Netgear 的过时 SOHO 路由器感染而成。

研究人员表示：“KVbotnet 具有两个不同的逻辑集群、复杂的感染过程和隐蔽的指挥控制C2框架。这个僵尸网络的操作者巧妙地实施了伪装技术。”

他们指出，利用较旧的 SOHO 路由器建立僵尸网络有几个优势，包括设备数量庞大、安全措施不足、缺乏补丁更新，以及能够处理显著的数据带宽而不引起怀疑。

“此外，由于这些型号通常与家庭和小型企业用户相关，许多目标可能缺乏监控或检测恶意活动以及进行取证的资源和专业知识。”

在 一份单独声明中，Lumen 指出，KVbotnet 使 Volt Typhoon 能够维持隐秘的通信通道，这些信道与正常网络流量融合，从而规避了安全障碍和防火墙。

“这个僵尸网络对于他们的战略情报收集行动至关重要，帮助他们实现长期目标。此次活动以传统安全检测团队无法触及的设备为目标，增添了隐蔽操作的故意伪装层。”

Lumen 表示，Black Lotus Labs 在追踪到其 C2 服务器后，已成功干扰该僵尸网络，禁止或丢弃恶意 IP 地址，阻止对被侵入设备的访问，并停止其在后续攻击中的使用。

“在 Lumen 网络中阻止威胁行为者的基础设施，破坏了该僵尸网络的运营能力，并有助于抵御像 Volt Typhoon 这样危险且技术嫉妒的国家级威胁，” Black Lotus Labs 的威胁情报高级总监 Mark Dehus 说。

但研究人员警告说，该僵尸网络的性质使其难以彻底销毁。

“由于此次活动针对的是 SOHO 设备，彻底清除所有受感染设备以消灭僵尸网络将非常困难。由于恶意软件完全驻留在内存中，用户只需简单地重启设备即可中断感染。虽然这消除了迫在眉睫的威胁，但重新感染的情况时有发生。”

Lumen 提出，为了帮助减轻像 KVbotnet 这样的威胁，企业应对网络中大量数据外流保持警惕。家庭用户应定期