Passer au contenu

Les hackers de Volt Typhoon ressuscitent leur botnet grâce aux routeurs « en fin de vie »

Les cybercriminels chinois de Volt Typhoon reprennent du service. En ciblant des routeurs obsolètes et vulnérables dans le monde entier, les hackers reconstruisent progressivement l’infrastructure de leur redoutable botnet, des mois après l’offensive menée par les agents du FBI.

En début d’année, le FBI est parvenu à démanteler le botnet mis sur pied par les cybercriminels de Volt Typhoon. Le botnet, composé de centaines de routeurs obsolètes et compromis, permettait aux hackers d’orchestrer une foule de cyberattaques, dont des opérations d’espionnage de grande envergure à l’encontre des infrastructures américaines.

Les pirates, financés par le gouvernement chinois, s’étaient notamment infiltré dans plusieurs bases militaires. Leur présence est passée inaperçue pendant cinq ans. Pour court-circuiter les cybercriminels, les agents fédéraux avaient effacé tous les virus des routeurs tombés sous la coupe de Volt Typhoon.

À lire aussi : Un botnet chinois a infecté plus de 260 000 appareils depuis 2020

Le retour de KV-Botnet

Quelques mois après l’offensive du FBI, Volt Typhoon s’est remis à la tâche pour rebâtir l’infrastructure du botnet. D’après les chercheurs de SecurityScorecard, les pirates ciblent actuellement les routeurs estampillés Cisco et Netgear qui sont obsolètes. Privés de mises à jour de sécurité, ces routeurs sont à la merci des pirates.

En un mois, les pirates ont pris le contrôle d’une grande quantité de routeurs. L’essentiel des appareils compromis se trouve en Asie. Tout porte donc à croire que le grand retour du botnet KV-Botnet est en bonne voie.

Des routeurs « en fin de vie »

Interrogés par Bleeping Computer, les chercheurs de SecurityScorecard précisent que le nouveau mode opératoire de Volt Typhoon est encore largement méconnu. Les chercheurs ne savent pas « quelle faiblesse ou quel défaut est exploité ». On sait uniquement que le gang s’attaque aux routeurs « en fin de vie », dont « les mises à jour ne sont plus fournies ». C’est une aubaine pour les cybercriminels.

Par ailleurs, les experts n’ont pas encore découvert quel logiciel malveillant est utilisé pour prendre le contrôle des routeurs. Les chercheurs ont par contre remarqué que certains des appareils libérés par le FBI sont à nouveau tombés entre les mains du gang.

Une tentative de résurrection avortée

Notez que ce n’est pas la première tentative de résurrection opérée par Volt Typhoon. Dès le mois de février 2024, soit quelques semaines seulement après l’offensive du FBI, les pirates chinois avaient déjà tenté de relancer leur botnet. En fait, Volt Typhoon s’est mis à scanner Internet à la recherche d’appareils vulnérables deux jours après le démantèlement éclair du botnet par le FBI.

L’opération avait échoué. Après avoir mené une attaque à grande échelle sur 3 045 appareils, ils sont parvenus à compromettre plus de 600 routeurs. Ils ont été coupés dans leur élan par les experts en sécurité de Black Lotus Labs. Malgré ce revers, le gang est resté très actif pendant des mois. Durant l’été, ils se sont fait remarquer en exploitant une faille de sécurité encore inconnue dans un outil utilisé par des opérateurs de télécommunication. Cette attaque augurait déjà la remise sur pied du botnet, et le retour en force de Volt Typhoon…

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Source : Bleeping Computer


Florian Bayard