Em um golpe contra as operações cibernéticas mal-intencionadas, o FBI anunciou a desativação de uma rede de botnets controlada por hackers chineses, conhecida como KV Botnet. Esta rede era operada pelo grupo Volt Typhoon, uma equipe de ciberespionagem estatal, que vinha atacando a infraestrutura crítica dos Estados Unidos com o objetivo de camuflar suas atividades ilícitas no tráfego de rede legítimo, dificultando sua detecção.
O KV Botnet, também identificado sob o codinome Bronze Silhouette, tinha como alvos principais escritórios pequenos e residências nos Estados Unidos, sequestrando centenas de dispositivos para disseminar suas operações maliciosas. Entre os dispositivos comprometidos estavam roteadores Netgear ProSAFE e Cisco RV320s, modems DrayTek Vigor e câmeras IP Axis. A descoberta da ligação do malware com o grupo chinês foi feita pela equipe da Black Lotus Labs da Lumen Technologies, em dezembro.
Relatórios recentes da SecurityScorecard apontam que, em pouco mais de um mês, os hackers do Volt Typhoon conseguiram comprometer cerca de 30% de todos os dispositivos Cisco RV320/325 disponíveis online. Segundo Christopher Wray, diretor do FBI, o malware do Volt Typhoon permitiu à China realizar reconhecimento pré-operacional e exploração de redes contra setores críticos como comunicações, energia, transporte e abastecimento de água.
Com a autorização judicial, o FBI iniciou uma operação em 6 de dezembro, invadindo o servidor de comando e controle do botnet e emitindo comandos para desligar os dispositivos infectados da rede de bots, além de impedir novas conexões dos hackers. A ação incluiu a remoção do componente VPN do botnet nos dispositivos afetados e o bloqueio de futuros ataques.
A maioria dos roteadores afetados eram modelos antigos da Cisco e NetGear, vulneráveis por não receberem mais atualizações de segurança ou suporte dos fabricantes. A operação do FBI não apenas removeu o malware dos dispositivos, mas também tomou medidas adicionais para cortar definitivamente a conexão com o botnet.
Além das medidas imediatas, o FBI e a CISA emitiram recomendações aos fabricantes de roteadores SOHO, instando-os a garantir a segurança dos dispositivos contra ataques do Volt Typhoon. As diretrizes incluem atualizações de segurança automáticas e o acesso às interfaces de gerenciamento web apenas via LAN, buscando eliminar vulnerabilidades já na fase de design e desenvolvimento.
Este esforço do FBI, em colaboração com parceiros de segurança, destaca a contínua ameaça das operações cibernéticas mal-intencionadas e a importância de uma defesa robusta para proteger a infraestrutura crítica do país. O relatório da Microsoft em maio de 2023 já havia indicado que o grupo Volt Typhoon visava organizações de infraestrutura crítica dos EUA desde meados de 2021, utilizando a rede KV Botnet em uma série de ataques contra organizações militares, provedores de telecomunicações e serviços de internet, além de uma empresa europeia de energia renovável.
