ФБР захватило контроль над огромным ботнетом, который предположительно контролировался хакерами, работающими на Кремль. Вредоносное ПО, известное как VPNFilter, было обнаружено исследователями, работающими в CISCO Talos. VPNFilter позволяет хакерам перехватывать маршрутизаторы, превращая их в вредоносную сеть VPN, используемую хакерами для маскировки своего истинного IP-адреса во время вторичных атак..


Согласно опубликованному вчера отчету, полезная нагрузка была в дикой природе, по крайней мере, с 2016 года. В то время считается, что она заразила около 500 000 машин в 54 странах. По словам Талоса, сложность модульной вредоносной системы, вероятно, означает, что это была спонсируемая государством атака.

Агенты ФБР утверждают, что действующим лицом угрозы, вероятно, был Sofacy - хакерский коллектив, контролируемый Кремлем, который был известен под множеством имен в течение последних пяти лет (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, СТРОНТИУМ и Царская Команда). Из аффидевита:

"Группа Sofacy - группа кибершпионажа, предположительно родом из России. Вероятно, эта группа, действующая с 2007 года, обычно предназначена для правительственных, военных, охранных организаций и других объектов разведки.."

Необычные Медведи 2

Как и в случае других эксплойтов на основе маршрутизатора, VPNFilter использует многоэтапный вектор атаки. Оказавшись на маршрутизаторе жертвы, он связывается с сервером управления и контроля (CnC) для загрузки дополнительных полезных нагрузок..

Второй этап эксплойта позволяет хакерам перехватывать трафик, красть данные, выполнять сбор файлов и выполнять команды. Также возможно, что дополнительные полезные нагрузки могли быть доставлены, заражая сетевые устройства, подключенные к маршрутизатору. Хотя по Талосу

«Тип устройств, на которые нацелен этот субъект, сложно защитить. Они часто находятся по периметру сети, без системы защиты от вторжений (IPS) и, как правило, не имеют доступной системы защиты на основе хоста, такой как антивирусный (AV) пакет ».

Fbi Vpnfilter

ФБР захватить власть

После нескольких месяцев мониторинга ситуации исследователи безопасности, работающие с ФБР, смогли точно определить доменное имя, используемое искушенными хакерами. Согласно заявлению, поданному вчера, агенты занимались этим делом с августа, когда житель Питтсбурга добровольно получил доступ к зараженному маршрутизатору.

После того, как новости об этой инфекции были обнародованы, ФБР действовало быстро, чтобы получить ордер от судьи из Пенсильвании, чтобы захватить контроль над toKnowAll.com домен.

Теперь, когда домен CnC находится под контролем ФБР, потребителей во всем мире с маршрутизаторами, подвергающимися риску, просят перезагрузить свое устройство, чтобы оно позвонило домой. Это даст федералам четкое представление о том, сколько именно устройств в мире было затронуто.

ФБР заявило, что намеревается составить список всех зараженных IP-адресов, чтобы связаться с интернет-провайдерами, частным и государственным партнерами, чтобы вылечить их после глобального заражения - до того, как новый вредоносный сервер CnC может быть настроен для восстановления ботнета..

Вопросительный знак Trust Fbi

Вы доверяете ФБР??

В то время как для большинства людей новость может показаться историей успеха для хороших парней, как защитник цифровой конфиденциальности, трудно не услышать звон будильника. Команда ProPrivacy.com немного обеспокоена приобретением ФБР этого мощного ботнета. Хотя ФБР может использовать собранные данные для информирования зараженных сторон и исправления ситуации, что мешает им использовать ботнет для развертывания собственных полезных нагрузок?

По словам Викрама Такура, технического директора Symantec,

«Судебный приказ позволяет ФБР отслеживать только метаданные, такие как IP-адрес жертвы, а не контент». Такур считает, что «нет угрозы, что вредоносное ПО отправит ФБР историю браузера жертвы или другие конфиденциальные данные".

Учитывая, что показания специального агента требовали, чтобы все это было «запечатано» в течение 30 дней, чтобы помочь расследованию, нельзя не задаться вопросом, действительно ли недавняя риторика ФБР действительно соответствует его повестке дня.

Сброс к заводским настройкам или новый роутер?

По этой причине, если вы действительно цените конфиденциальность и, возможно, предпочитаете отправлять свои данные хакерам в Кремле, а не федералам, - мы рекомендуем сделать немного больше, чем просто включить и выключить маршрутизатор. Symantec посоветовал:

"Выполнение аппаратного сброса устройства, которое восстанавливает заводские настройки, должно очистить его и удалить Стадию 1. На большинстве устройств это можно сделать, нажав и удерживая небольшой переключатель сброса при выключении и включении питания устройства. Однако имейте в виду, что любые сведения о конфигурации или учетные данные, хранящиеся на маршрутизаторе, должны быть скопированы, так как они будут стерты путем аппаратного сброса."

Тем не менее, единственный способ быть абсолютно уверенным, что ваш маршрутизатор не был скомпрометирован правительством США, может пойти и купить новый.

Вот список всех известных уязвимых маршрутизаторов и устройств сетевого хранения (NAS) QNAP:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS для облачных основных маршрутизаторов: версии 1016, 1036 и 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Другие устройства QNAP NAS с программным обеспечением QTS
  • TP-Link R600VPN

Мнения автора.

Название изображения: Официальное изображение VPNFilter от Talos

Изображение предоставлено: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me