Az FBI megragadta egy hatalmas botnet ellenőrzését, amelyet állítólag a Kreml számára dolgozó hackerek irányítottak. A VPNFilter néven ismert malware-t a CISCO Talos munkatársai fedezték fel. A VPNFilter lehetővé teszi a hackereknek, hogy eltérítsék az útválasztókat, és rosszindulatú VPN-hálózatgá változtatják őket, amelyet a hackerek használnak, hogy elrejtsék valódi IP-címüket a másodlagos támadások során..

A tegnap kiadott jelentés szerint a hasznos teher legalább 2016 óta vadonban van. Ebben az időben úgy gondolják, hogy körülbelül 500 000 gépet fertőzött meg 54 országban. Talos szerint a moduláris rosszindulatú rendszer kifinomulása valószínűleg azt jelenti, hogy egy állami támogatású támadás volt.

Az FBI ügynökei azt állították, hogy a fenyegető szereplő valószínűleg a Sofacy volt - a Kreml irányítása alatt álló hackeregyüttes, amelyet az elmúlt öt évben számos név alatt ismertek (APT28, Sednit, Fancy Bears, Gyalogvihar, Grizzly Steppe, STRONTIUM és a cári csapat). Nyilatkozatból:

"A Sofacy csoport egy számítógépes kémkedés csoport, amelyről feltételezik, hogy Oroszországból származik. A csoport valószínűleg 2007 óta működik, és ismert, hogy tipikusan kormányzati, katonai, biztonsági szervezeteket és egyéb hírszerzési célpontokat céloz meg."

Divatos medvék 2


Mint a többi útválasztó alapú kihasználtságnál, a VPNFilter többlépcsős támadási vektort is alkalmaz. Miután a helyén van az áldozat útválasztóján, kommunikál a Command and Control (CnC) szerverrel a további hasznos teher letöltéséhez..

A kizsákmányolás második szakasza lehetővé teszi a hackerek számára a forgalom elfogását, az adatok ellopását, a fájlgyűjtést és a parancsok végrehajtását. Az is lehetséges, hogy további hasznos teher szállításával megfertőzte az útválasztóhoz csatlakoztatott hálózati eszközöket. Talos szerint:

„Nehéz megvédeni az e szereplő által megcélzott eszköz típusát. Gyakran a hálózat kerületén vannak, nincs behatolásvédelmi rendszer (IPS), és általában nem állnak rendelkezésre elérhető host-alapú védelmi rendszer, például egy vírusvédelmi (AV) csomag. ”

Fbi Vpnfilter

FBI veszi át

Miután hónapok óta figyelték a helyzetet, az FBI-vel együttműködő biztonsági kutatók meg tudták határozni a domain nevet, amelyet a kifinomult hackerek használnak. A tegnap benyújtott nyilatkozat szerint az ügynökök augusztus óta vannak az ügyben, amikor egy Pittsburgh-i lakos önként engedélyezte a hozzáférést a fertőzött útválasztóhoz..

Miután a fertőzésről szóló híreket nyilvánosságra hozták, az FBI gyorsan reagált, hogy egy pennsylvaniai bírótól parancsot szerezzen az állam ellenőrzése érdekében. toKnowAll.com tartomány.

Most, hogy a CnC domain az FBI ellenőrzése alatt áll, a veszélyeztetett útválasztókkal rendelkező fogyasztókat szerte a világon felkérik, hogy indítsák újra eszközüket, hogy hazafelé telefonálhassák. Ez egyértelmű képet ad a médiatagoknak arról, hogy pontosan hány eszközt érintettek a világ minden tájáról.

Az FBI szerint az összes fertőzött IP-címet fel fogja készíteni annak érdekében, hogy kapcsolatba lépjen az internetszolgáltatókkal, a magán- és a közszektorbeli partnerekkel, hogy megtisztuljon a globális fertőzés után - mielőtt új rosszindulatú CnC-kiszolgálót lehet beállítani a botnet helyreállításához..

Kérdőjel bizalom Fbi

Bízol az FBI-ban??

Noha a legtöbb ember számára a hír sikeresnek tűnhet a jó fiúk számára, a digitális magánélet védelmezőjeként nehezen lehet hallani a riasztócsengőket. A ProPrivacy.com csapata kissé nyugtalanul érezte magát, hogy az FBI megszerezte ezt a hatalmas robotot. Noha az FBI felhasználhatja az összegyűjtött adatokat a fertőzött felek tájékoztatására és a helyzet rögzítésére, mi akadályozhatja meg őket abban, hogy a botnet felhasználják saját hasznos teher-ek telepítésére?

Vikram Thakur, a Symantec műszaki igazgatója szerint,

"A bírósági végzés csak akkor engedi az FBI-nak a metaadatok figyelését, mint például az áldozat IP-címe, nem pedig a tartalma". Thakur úgy véli, hogy „nincs veszély abban, hogy a rosszindulatú program az FBI-nak áldozat böngészőelőzményeit vagy más érzékeny adatokat küld.".

Tekintettel arra, hogy a különleges ügynök nyilatkozata azt kérte, hogy az egészet 30 napig „pecsét alatt tartsák” a nyomozás elősegítése érdekében, nem csoda, hogy az FBI legutóbbi retorikája valóban megfelel-e a napirendjének..

Gyári beállítások vagy új útválasztó?

Ezért, ha valóban értékeli a magánélet védelmét, és valószínűleg inkább azt a gondolatot részesíti előnyben, hogy adatait a Kreml hackereinek továbbítsa, nem pedig a FED-eknek - javasolnánk egy kicsit többet, mint pusztán az útválasztó be- és kikapcsolását. A Symantec a következőket tanácsolta:

"Az eszköz kemény alaphelyzetbe állításakor, amely visszaállítja a gyári beállításokat, törölje le és tisztítsa meg az 1. lépést. A legtöbb eszköznél ez megtehető úgy, hogy egy kis alaphelyzetbe állító kapcsolót lenyomva tart és tart az eszköz áramellátása közben. Ne feledje azonban, hogy az útválasztón tárolt összes konfigurációs adatot vagy hitelesítő adatot biztonsági másolatot kell készíteni, mivel ezeket egy kemény visszaállítás törli.."

Az egyetlen mód annak biztosítására, hogy az útválasztót nem veszélyeztette az Egyesült Államok kormánya, az lehet, ha kimegy és újat vásárol..

Itt található az összes ismert érintett útválasztó és a QNAP hálózathoz csatlakoztatott tároló (NAS) eszköz listája:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS felhőmag útválasztókhoz: 1016, 1036 és 1072 verziók
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Más QNAP NAS eszközök, amelyek QTS szoftvert futtatnak
  • TP-Link R600VPN

A vélemények az író véleményei.

Cím címe: Hivatalos VPNFilter kép a Talos-tól

Kép-jóváírások: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me