Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Volt Typhoon è Tornato: Gli Hacker Ripristinano la Botnet KV e Puntano ai Router Obsoleti

Redazione RHC : 14 Novembre 2024 08:54

Il gruppo di hacker cinese Volt Typhoon ha iniziato a ripristinare la sua botnet KV, che era stata disattivata dalle forze dell’ordine alla fine del 2023. Secondo gli esperti il ​​gruppo attacca ora soprattutto i router Cisco e Netgear ormai obsoleti.

Chi ci sia dietro Volt Typhoon ancora non è chiaro in quanto i due schieramenti, Cina e USA, attribuiscono il gruppo all’altro Stato. Quello che è sicuro che si tratta di un gruppo di hacking “governativo” che si è infiltrato nelle infrastrutture critiche degli Stati Uniti e ha attaccato altre reti almeno nel 2021.

Secondo  un rapporto Microsoft del 2023, gli attacchi di Volt Typhoon utilizzano botnet costituite da centinaia di router e altri dispositivi sparsi negli Stati Uniti per nascondere attività dannose ed eludere il rilevamento.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    All’inizio del 2024, l’FBI  ha annunciato di aver smantellato una grande botnet KV di proprietà di un gruppo di hacker e di aver ripulito i dispositivi compromessi dal malware Volt Typhoon. Secondo gli  esperti di sicurezza informatica, gli hacker hanno tentato senza indugio di ripristinare l’infrastruttura distrutta, ma ciò non ha prodotto alcun risultato.

    Come riferiscono ora gli esperti di securityScorecard, nonostante ciò Volt Typhoon è ancora attivo e sta facendo progressi nel ripristino della botnet KV. Il gruppo ora prende di mira i router Cisco e Netgear legacy e ha compromesso “un numero significativo di dispositivi” in appena un mese. Per l’hacking vengono utilizzati principalmente malware MIPS e web shell che trasmettono dati attraverso porte non standard, rendendo difficile il rilevamento della minaccia.

    Secondo i ricercatori, l’attività degli hacker è ripresa nel settembre 2024 e il gruppo è tornato in azione con una nuova rete di dispositivi compromessi proveniente dall’Asia. Ora la botnet KV, che SecurityScorecard traccia come JDYFJ (a causa del certificato SSL autofirmato trovato sui dispositivi compromessi), prende di mira principalmente i dispositivi della serie Cisco RV320/325 e Netgear ProSafe.

    È noto che in soli 37 giorni Volt Typhoon ha compromesso circa il 30% di tutti i dispositivi Cisco RV320/325 accessibili via Internet.

    “Non sappiamo quale specifica vulnerabilità o errore venga sfruttato dagli aggressori. Tuttavia, poiché questi dispositivi hanno raggiunto la fine della loro vita utile, gli aggiornamenti non vengono più rilasciati”, hanno affermato i ricercatori. L’obiettivo principale della rinascita della botnet KV sembra essere quello di mascherare attività dannose instradando il traffico attraverso un’infrastruttura legittima compromessa.

    Per creare una rete più ampia e stabile, i server di controllo della botnet si trovano in Digital Ocean, Quadranet e Vultr. Si noti inoltre che Volt Typhoon utilizza un dispositivo VPN compromesso situato sull’isola della Nuova Caledonia nel Pacifico come ponte che instrada il traffico tra la regione Asia-Pacifico e le Americhe, fungendo da hub nascosto.

    Per proteggersi dagli attacchi Volt Typhoon, gli esperti consigliano di sostituire i dispositivi più vecchi e non supportati con modelli più recenti, aggiornare il firmware all’ultima versione, posizionarli dietro firewall, non consentire l’accesso remoto ai pannelli di amministrazione su Internet e modificare le credenziali di amministratore predefinite.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    A lezione di IA a 6 anni: la Cina prepara i suoi bambini alla rivoluzione dell’intelligenza artificiale

    La Cina introdurrà corsi di intelligenza artificiale per gli studenti delle scuole primarie e secondarie questo autunno. L’iniziativa prevede che i bambini a partire dai sei anni imparino ...

    Attacco Hacker a 4chan! Dove è nato Anonymous, probabilmente chiuderà per sempre

    L’imageboard di 4chan è praticamente inattivo da lunedì sera (14 aprile), apparentemente a causa di un attacco hacker. I membri dell’imageboard Soyjak party (noto anche semplic...

    Zero-day su iPhone, Mac e iPad: Apple corre ai ripari con patch d’emergenza

    Apple ha rilasciato patch di emergenza per correggere due vulnerabilità zero-day. Secondo l’azienda, questi problemi sono stati sfruttati in attacchi mirati ed “estremamen...

    CVE e MITRE salvato dagli USA. L’Europa spettatrice inerme della propria Sicurezza Nazionale

    Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...

    Spotify è Andato giù e DarkStorm Rivendica un attacco DDoS col botto!

    ​Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006