FBI, Kremlin için çalışan bilgisayar korsanları tarafından kontrol edildiğine inanılan büyük bir botnet'in kontrolünü ele geçirdi. VPNFilter olarak bilinen Kötü Amaçlı Yazılım, CISCO Talos'ta çalışan araştırmacılar tarafından keşfedildi. VPNFilter, bilgisayar korsanlarının yönlendiricileri ele geçirmesine izin verir ve bunları, bilgisayar korsanları tarafından ikincil saldırılar sırasında gerçek IP adreslerini maskelemek için kullanılan kötü amaçlı bir VPN ağına dönüştürür.


Dün yayınlanan bir rapora göre, yük en az 2016'dan beri vahşi doğada. O zamanlar 54 ülkede yaklaşık 500.000 makineye bulaştığı düşünülüyor. Talos'a göre, modüler kötü amaçlı yazılım sisteminin karmaşıklığı, muhtemelen devlet destekli bir saldırı olduğu anlamına geliyor..

FBI ajanları, tehdit aktörünün, Kremlin tarafından kontrol edilen ve son beş yılda çok sayıda isim altında bilinen bir hacker kollektifi olan Sofite olduğunu iddia etti (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM ve Çar Ekibi). Affidavit'ten:

"Sofacy grubu, Rusya'dan geldiğine inanılan bir siber casusluk grubudur. 2007 yılından bu yana faaliyet gösteren grubun genellikle hükümeti, orduyu, güvenlik kuruluşlarını ve diğer istihbarat değeri hedeflerini hedeflediği bilinmektedir.."

Süslü Ayılar 2

Diğer yönlendirici tabanlı istismarlarda olduğu gibi, VPNFilter çok aşamalı bir saldırı vektörü kullanır. Kurbanın yönlendiricisine yerleştirildikten sonra, ek yükler indirmek için bir Komuta ve Kontrol (CnC) sunucusuyla iletişim kurar.

İstismarın ikinci aşaması, bilgisayar korsanlarının trafiği durdurmasına, verileri çalmasına, dosya toplamasına ve komutları çalıştırmasına izin verir. Ayrıca yönlendiriciye bağlı ağ aygıtlarına bulaşan ek yükler de sağlanmış olabilir. Rağmen Talos göre:

“Bu aktör tarafından hedeflenen cihazların tipini savunmak zor. Sık sık izinsiz giriş koruma sistemi (IPS) olmadan ağın çevresinde bulunurlar ve genellikle antivirüs (AV) paketi gibi ana bilgisayar tabanlı bir koruma sistemine sahip değildirler. ”

Fbi Vpnfilter

FBI yönetimi

Durumu aylarca izledikten sonra, FBI ile çalışan güvenlik araştırmacıları, sofistike bilgisayar korsanları tarafından kullanılan alan adını tespit edebildi. Dün yapılan beyannameye göre, ajanlar Ağustos ayından bu yana Pittsburgh sakini tarafından enfekte bir yönlendiriciye gönüllü olarak erişim verildikleri davada bulunuyordu..

Enfeksiyonla ilgili haberler kamuoyuna duyurulduktan sonra, FBI hızlı bir şekilde bir Pennsylvania yargıçından kontrolün ele geçirilmesi için bir emir almak için harekete geçti. toKnowAll.com alan adı.

Artık CnC etki alanı FBI kontrolü altında olduğundan, dünya çapında risk altındaki yönlendiricilere sahip tüketicilerin telefonlarını evlerine dönüştürmek için cihazlarını yeniden başlatmaları isteniyor. Bu, dünyadaki kaç cihazın tam olarak etkilendiğine dair net bir resim verecektir..

FBI, küresel enfeksiyondan sonra temizlemek için ISS'lere, özel ve kamu sektörü ortaklarına başvurmak için enfekte olmuş tüm IP adreslerinin bir listesini yapmayı planladığını söyledi - botnet'i yeniden kurmak için yeni bir kötü amaçlı CnC sunucusu kurulamadan önce.

Soru işareti güven Fbi

FBI'a güveniyor musun?

Çoğu insan için haberler iyi adamlar için bir başarı hikayesi gibi görünse de, dijital gizlilik savunucusu olarak alarm zillerinin çaldığını duymak zor. ProPrivacy.com'daki ekip, FBI'ın bu güçlü botnet'i satın almasından biraz tedirgin oluyor. FBI toplanan verileri enfekte olmuş tarafları bilgilendirmek ve durumu düzeltmek için kullanabilirken, kendi yüklerini dağıtmak için botnet'i kullanmasını engelleyecek ne var??

Vikram Thakur'a göre, Symantec teknik direktörü,

“Mahkeme kararı, FBI'ın içeriği değil, mağdurun IP adresi gibi meta verileri izlemesine izin veriyor”. Thakur, “FBI'a kurbanın tarayıcı geçmişini veya diğer hassas verileri gönderen kötü amaçlı yazılım tehlikesi olmadığını düşünüyor.".

Özel ajanın beyannamesi, soruşturmaya yardımcı olmak için her şeyin 30 gün boyunca 'mühür altında tutulmasını' istediğini düşünürsek, FBI'ın son söyleminin gerçekten gündemine uyup uymadığını merak edemez.

Fabrika ayarlarına sıfırlama veya yeni bir yönlendirici?

Bu nedenle, gizliliğe gerçekten değer veriyorsanız ve belki de verilerinizi kremler yerine Kremlin'deki bilgisayar korsanlarına gönderme fikrini tercih ediyorsanız - yönlendiricinizi açıp kapatmaktan biraz daha fazlasını yapmanızı öneririz. Symantec şunları tavsiye etti:

"Fabrika ayarlarını geri yükleyen cihazın donanımdan sıfırlanması, onu silmeli ve Aşama 1'i kaldırmalıdır. Çoğu cihazda, bu, cihazın gücü kapatılırken küçük bir sıfırlama anahtarına basıp basılı tutularak yapılabilir. Ancak, yönlendiricide depolanan tüm yapılandırma ayrıntılarının veya kimlik bilgilerinin bir donanım sıfırlamasıyla silineceği için yedeklenmesi gerektiğini unutmayın.."

Ancak, yönlendiricinizin ABD hükümeti tarafından ele geçirilmediğinden kesinlikle emin olmanın tek yolu dışarı çıkıp yeni bir tane satın almak olabilir..

Etkilenen tüm bilinen yönlendiricilerin ve QNAP ağa bağlı depolama (NAS) aygıtlarının listesi:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Bulut Çekirdek Yönlendiriciler için Mikrotik RouterOS: 1016, 1036 ve 1072 Sürümleri
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • QTS yazılımı çalıştıran diğer QNAP NAS cihazları
  • TP-Link R600VPN

Görüşler yazarın kendi.

Başlık resim kredisi: Talos'un resmi VPNFilter resmi

Fotoğraf: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me