美国司法部周三表示,联邦调查局秘密向数百个受感染的小型办公室和家庭办公室路由器发送命令,以删除中国国家支持的黑客用来对关键基础设施发动攻击的恶意软件。
司法部官员称,这些路由器(主要是已达到使用寿命的思科和 Netgear 设备)感染了所谓的 KV 僵尸网络恶意软件 说。 被追踪为 Volt Typhoon 的中国黑客使用该恶意软件将路由器侵入他们可以控制的网络。 黑客和受感染设备之间的流量通过安装的 VPN 模块 KV Botnet 进行加密。 从那里,活动运营者连接到美国关键基础设施组织的网络,以建立可用于未来网络攻击的帖子。 这种安排导致流量显示为源自信誉良好的美国 IP 地址,而不是来自中国的可疑地区。
没收受感染的设备
在合法地进行拆除之前,联邦调查局特工必须获得联邦法官的授权——从技术上讲,即所谓的扣押受感染的路由器或“目标设备”。 12 月,一份寻求授权的初步宣誓书已向休斯敦美国联邦法院提交。 此后已提出后续请求。
“为了实现这些查获,FBI 将向每个目标设备发出命令,阻止其运行 KV 僵尸网络 VPN 进程,”一名机构特工在一份报告中写道。 宣誓书 日期为 1 月 9 日。“该命令还将阻止目标设备作为 VPN 节点运行,从而防止黑客通过任何已建立的 VPN 隧道进一步访问目标设备。 如果 VPN 进程未运行,则此命令不会影响目标设备,也不会影响目标设备,包括目标设备所有者安装的任何合法 VPN 进程。”
司法部周三的声明称,当局已采取后续行动,对“数百个”受感染的路由器进行了消毒,并将其从僵尸网络中删除。 为了防止设备被再次感染,删除操作者发布了额外的命令,宣誓书称这些命令将“干扰黑客对其犯罪工具(目标设备)的控制,包括防止黑客轻易地重新感染目标”设备。”
宣誓书在其他地方表示,如果路由器重新启动,预防措施将失效。 这些设备将再次容易受到感染。
宣誓书中的修改使得用于防止再次感染的确切方法尚不清楚。 然而,未经审查的部分表明,该技术涉及一种环回机制,可防止设备与任何试图破解它们的人进行通信。
宣誓书的部分内容解释道:
22. 为了实现这些查获,FBI 将同时发布命令,干扰黑客对其犯罪工具(目标设备)的控制,包括防止黑客轻易地用 KV 僵尸网络恶意软件重新感染目标设备。
- A。 当 FBI 从目标设备中删除 KV 僵尸网络恶意软件时 [redacted. To seize the Target Devices and interfere with the hackers’ control over them, the FBI [redacted]。 这 [redacted] 除了保护目标设备免遭 KV 僵尸网络再次感染外,没有任何作用 [redacted] 可以通过重新启动目标设备来撤消效果 [redacted] 使目标设备容易再次感染。
- b. [redacted] FBI 将通过使目标设备上的恶意软件仅与自身通信来夺取每个此类目标设备。 这种夺取方法将干扰黑客控制这些目标设备的能力。 与恶意软件本身一样,此通信环回将无法在目标设备重新启动后幸存下来。
- C。 为了扣押目标设备,FBI 将 [redacted] 阻止传入流量 [redacted] 目标设备上的 KV 僵尸网络恶意软件专用,用于阻止出站流量 [redacted] 目标设备的父节点和命令与控制节点,并允许目标设备与其自身通信 [redacted] 路由器通常不使用这些信息,因此路由器的合法功能不会受到影响。 的效果 [redacted] 以防止僵尸网络的其他部分联系受害路由器、撤消 FBI 的命令并将其重新连接到僵尸网络。 通过重新启动目标设备可以撤消这些命令的效果。
23. 为了实现这些查获,FBI 将向每个目标设备发出命令,以阻止其运行 KV 僵尸网络 VPN 进程。 此命令还将阻止目标设备作为 VPN 节点运行,从而防止黑客通过任何已建立的 VPN 隧道进一步访问目标设备。 如果 VPN 进程未运行,则此命令不会影响目标设备,也不会影响目标设备,包括目标设备所有者安装的任何合法 VPN 进程。
2024-01-31 23:34:02
1706793542
