去年5月曝光的中國駭客組織Volt Typhoon,今年1月美國宣布破壞其建置的殭屍網路KV Botnet,但有研究人員指出,這些駭客近期又捲土重來,企圖打造新的殭屍網路環境。

資安業者SecurityScorecard指出,在去年5月微軟與美國政府聯手,公布這些駭客自2021年開始針對美國關鍵基礎設施(CI)的攻擊行動,駭客似乎消聲匿跡了一段時間,但到了去年底,這些駭客重出江湖,入侵思科及Netgear路由器,部署名為JDYFJ的殭屍網路叢集,他們將C2架設在荷蘭、拉脫維亞、德國,並使用加密通道來迴避偵測。而該殭屍網路命名的由來,正是因為攻擊者自行簽章的SSL憑證,就叫做JDYFJ。

值得一提的是,駭客去年10月挾持位於太平洋的法屬新喀里多尼亞當地的VPN設備,從而在亞太地區與美洲建立秘密通道,這麼做的目的,就是要讓殭屍網路維持活動,減少資安檢測帶來的影響。

到了今年初,全球執法單位對其進行圍剿,破壞部分殭屍網路環境,這些駭客很快就在Digital Ocean、Quadranet、Vultr設置新的C2伺服器,註冊新的SSL憑證來迴避相關調查。而在9月,這些駭客利用JDYFJ叢集在全球暗中路由攻擊流量,並強化他們的基礎設施。

比起其他網路犯罪組織,Volt Typhoon最大的差異在於宛如打不死的蟑螂,而且,一旦執法單位宣布將他們的設置成功進行破壞,不僅很快捲土重來,行徑也變得更加詭譎多端。

有別於其他駭客事跡敗露會消失一段時間,Volt Typhoon被取締、法辦之後的手段變本加厲,因為這群駭客最近利用思科RV320、RV325路由器,以及Netgear ProSafe路由器遺留下來的弱點進行操控,將這些設備當作Operational Relay Box(ORB)網路的節點。而且,攻擊者只花了37天,就入侵全球三成曝露於網際網路的RV320及RV325路由器。

而這些路由器組成了隱密的傳輸環境,使得殭屍網路的活動更不容易被發現。研究人員特別提到,Volt Typhoon的基礎設施每一層都試圖將惡意行為融入正常網路活動,使得相關活動不僅難以偵測,想要清除也變得更加困難。尤其是政府機關及關鍵基礎設施,往往仍依賴老舊、過時的技術,導致資安威脅風險加劇。

熱門新聞

Advertisement