FBI telah merampas kawalan botnet besar yang dipercayai telah dikawal oleh penggodam yang bekerja untuk Kremlin. Malware, yang dikenali sebagai VPNFilter, ditemui oleh penyelidik yang bekerja di CISCO Talos. VPNFilter membenarkan penggodam untuk merampas router menjadikan mereka menjadi rangkaian VPN yang berniat jahat yang digunakan oleh penggodam untuk menutup alamat IP sebenar mereka semasa serangan sekunder.


Menurut laporan yang dikeluarkan semalam, muatan telah berada di alam liar semenjak sekurang-kurangnya 2016. Pada masa itu, dipercayai telah menjangkiti sekitar 500,000 mesin di 54 negara. Menurut Talos, kecanggihan sistem malware modular mungkin bermakna ia adalah serangan yang ditaja oleh kerajaan.

Ejen FBI mendakwa bahawa pelakon ancaman itu mungkin telah menjadi Sofacy - sebuah kolektaan penggodam yang dikawal oleh Kremlin yang telah dikenali di bawah pelbagai nama sejak lima tahun yang lalu (APT28, Sednit, Bears Fancy, Storm Pawn, Grizzly Steppe, STRONTIUM, dan Pasukan Tsar). Dari afidavit:

"Kumpulan Sofacy adalah kumpulan pengintip siber yang dipercayai berasal dari Rusia. Kemungkinan operasi sejak tahun 2007, kumpulan ini biasanya menargetkan kerajaan, organisasi ketenteraan, keselamatan, dan sasaran kecerdasan lain."

Bears Fancy 2

Seperti dengan eksploitasi berasaskan router lain, VPNFilter menggunakan vektor serangan pelbagai peringkat. Sekali berlaku pada penghala mangsa, ia berkomunikasi dengan pelayan Perintah dan Kawalan (CnC) untuk memuat turun muatan tambahan.

Tahap dua eksploitasi membenarkan penggodam untuk memintas lalu lintas, mencuri data, melakukan pengumpulan fail, dan melaksanakan perintah. Ia juga mungkin bahawa muatan tambahan mungkin telah dihantar menyebarkan peranti rangkaian yang dipasang pada penghala. Walaupun menurut Talos:

"Jenis peranti yang disasarkan oleh pelakon ini sukar dibela. Mereka sering berada di perimeter rangkaian, tanpa sistem perlindungan pencerobohan (IPS) di tempat, dan biasanya tidak mempunyai sistem perlindungan berasaskan tuan rumah yang tersedia seperti pakej anti-virus (AV). "

Fbi Vpnfilter

FBI mengambil alih

Selepas memantau keadaan selama berbulan-bulan, para penyelidik keselamatan yang bekerja dengan FBI dapat menentukan nama domain yang digunakan oleh penggodam yang canggih. Mengikut afidavit yang difailkan semalam, agen telah melakukan kes itu sejak Ogos ketika mereka secara sukarela memberikan akses kepada router yang dijangkiti oleh penduduk Pittsburgh.

Selepas berita mengenai jangkitan itu dipublikasikan, FBI bertindak pantas untuk mendapatkan waran dari seorang hakim Pennsylvania untuk merebut kawalan toKnowAll.com domain.

Sekarang bahawa domain CnC berada di bawah kawalan FBI, pengguna di seluruh dunia dengan router berisiko diminta untuk reboot peranti mereka untuk menjadikannya telefon di rumah. Ini akan memberi gambaran yang jelas tentang betapa banyak peranti di seluruh dunia terjejas.

FBI berkata ia berhasrat untuk membuat senarai semua alamat IP yang dijangkiti untuk menghubungi rakan kongsi ISP, swasta dan sektor awam, untuk membersihkan selepas jangkitan global - sebelum pelayan CnC berbahaya baru boleh ditubuhkan untuk membina semula botnet.

Soalan Mark Trust Fbi

Adakah anda mempercayai FBI?

Walaupun bagi kebanyakan orang berita mungkin kelihatan seperti kisah kejayaan untuk orang yang baik, sebagai penyokong privasi digital, sukar untuk tidak mendengar bunyi loceng penggera. Pasukan di ProPrivacy.com berasa sedikit tidak selesa mengenai pengambilalihan FBI botnet yang berkuasa ini. Walaupun FBI boleh menggunakan data yang dikumpul untuk memaklumkan pihak yang dijangkiti dan membetulkan keadaan, apa yang menghalang mereka daripada menggunakan botnet untuk menggunakan muatan sendiri?

Menurut Vikram Thakur, pengarah teknikal di Symantec,

"Perintah mahkamah hanya membolehkan metadata monitor FBI seperti alamat IP mangsa, bukan kandungan". Thakur menganggap bahawa "tidak ada bahaya malware yang menghantar FBI riwayat pelayar mangsa atau data sensitif yang lain".

Memandangkan afidavit ejen khas itu memohon agar segala-galanya harus 'tertutup' selama 30 hari untuk membantu penyiasatan, seseorang itu tidak boleh membantu tetapi tertanya-tanya sama ada retorik FBI baru-baru ini sepadan dengan agendanya.

Tetapkan semula kilang atau penghala baharu?

Atas sebab ini, jika anda benar-benar menghargai privasi, dan mungkin anda sebenarnya lebih suka idea menghantar data anda kepada penggodam di Kremlin daripada feds - kami akan mengesyorkan melakukan sedikit lebih daripada sekadar menukar router anda dan mematikan. Symantec telah menasihatkan:

"Melaksanakan tetapan semula peranti keras, yang mengembalikan tetapan kilang, harus membersihkannya dan keluarkan Peringkat 1. Dengan kebanyakan peranti, ini boleh dilakukan dengan menekan dan memegang sakelar semula kecil apabila kuasa berbasikal peranti. Walau bagaimanapun, perlu diingat bahawa sebarang butiran konfigurasi atau kelayakan yang disimpan di penghala harus disandarkan kerana ini akan dihapuskan oleh tetapan semula keras."

Walau bagaimanapun, satu-satunya cara untuk memastikan bahawa penghala anda tidak dikompromi oleh kerajaan AS mungkin keluar dan membeli yang baru.

Berikut adalah senarai semua router yang terjejas dan peranti penyimpanan rangkaian (NAS) QNAP yang diketahui:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS untuk Router Core Core: Versi 1016, 1036, dan 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Peranti QNAP NAS lain yang menjalankan perisian QTS
  • TP-Link R600VPN

Pendapat adalah penulis sendiri.

Kredit imej tajuk: Imej rasmi VPNFilter dari Talos

Kredit imej: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me