De FBI heeft op 31 januari van dit jaar de Chinese hackersbende Volt Typhoon een grote slag toegebracht. Proactief verwijderde de Amerikaanse veiligheidsdienst de KV Botnet-malware van deze hackers op honderden Small business- en Home Office (SOHO)-routers. Ook werden mogelijke toekomstige nieuwe infecties voorkomen.
Volgens de FBI werden de met KV Botnet-geïnfecteerde routers van mkb’ers en ZZP’ers vooral door de Chinese hackers gebruikt om aanvallen op kritieke infrastructuur uit te voeren. De hackers hadden via de malware de getroffen devices omgevormd tot een groot botnet. Het zou daarbij gaan om routers van onder meer Cisco en NETGEAR. De veiligheidsdienst geeft in zijn verklaring aan dat de gebruikte techniek op SOHO-routers van specifiek deze twee fabrikanten is getest.
VPN-module misbruiken
Het KV Botnet, een VPN-module, versleutelde het verkeer tussen de hackers en de getroffen devices. Deze konden op deze manier door hackerscollectief Volt Typhoon worden gebruikt voor de verbindingen met de kritieke netwerkomgevingen in de VS.
Het (kwaadaardige) verkeer dat de hackers versturen kan op deze manier worden misleid als afkomstig van IP-adressen uit de VS en daardoor voor de betreffende infrastructuuromgevingen als betrouwbaarder worden geacht dan bijvoorbeeld Chinese IP-adressen.
Geïnfecteerde routers overgenomen door FBI
De actie van de FBI werd goed voorbereid, onder meer door een dagvaarding van een Amerikaanse rechter. Met deze dagvaarding mocht de veiligheidsdienst de betreffende gecompromitteerde routers met een commando op afstand overnemen om het KV Botnet te stoppen.
Het commando moest er daarbij ook voor zorgen dat het ‘target device’ zou stoppen te werken als een VPN-node, zodat hackers geen toegang meer krijgen via een VPN-tunnel. De werking van het betreffende device zou geen last van deze actie ondervinden. Ook niet wanneer er legitieme VPN-diensten zouden worden gebruikt.
De gebruikte technologie hierbij is waarschijnlijk een zogenoemd loop-back-mechanisme. Hiermee wordt voorkomen dat de devices kunnen communiceren met potentiële hackers. Wel geeft de FBI aan dat het opnieuw opstarten van de betreffende routers ertoe kan leiden dat zij opnieuw kwetsbaar worden.
Voorkomen nieuwe aanvallen
Volgens de FBI zijn met de proactieve actie honderden SOHO-routers opnieuw vrij van besmetting. Om hoeveel routers het exact gaat, is niet bekend. De FBI heeft inmiddels de ISP’s van de klanten met ‘geholpen’ routers op de hoogste gesteld van de uitgevoerde actie. Deze internetaanbieders moeten de betreffende eindklanten nog op de hoogte stellen van de eerdere infectie van hun routers.
Het is niet de eerste keer dat de FBI proactief ingrijpt tegen hackers. In 2021 werd al een soortgelijke actie uitgevoerd voor Exchange-servers. Onder meer om Chinese staatsgesponsorde hackersbendes als Hafnium aan te pakken.
Lees ook: FBI hackt zelf Exchange-servers om ze te beschermen
23 uur geleden
