ФБР завзе контрол над масивен ботнет, за който се смята, че е бил контролиран от хакери, работещи за Кремъл. Зловредният софтуер, известен като VPNFilter, е открит от изследователи, работещи в CISCO Talos. VPNFilter позволява на хакерите да отвлекат рутери, превръщайки ги в злонамерена VPN мрежа, използвана от хакери за маскиране на истинския им IP адрес по време на вторични атаки.


Според доклад, публикуван вчера, полезният товар е в дивата природа поне от 2016 г. По това време се смята, че е заразил около 500 000 машини в 54 държави. Според Талос, сложността на модулната система за злонамерен софтуер вероятно означава, че е било нападение от страна на държавата.

Агентите на ФБР твърдят, че вероятно заплашващият актьор е бил Sofacy - хакерски колектив, контролиран от Кремъл, известен под множество имена през последните пет години (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM и Царски екип). От показанието:

"Групата „Софи“ е група за кибер-шпионаж, за която се смята, че е с произход от Русия. Вероятно действа от 2007 г., групата обикновено е насочена към правителството, военните организации, организациите за сигурност и други цели с разузнавателна стойност."

Фантазия Мечки 2

Както при други експлоатации, базирани на рутери, VPNFilter използва многоетапен вектор на атака. Веднъж поставен на рутера на жертвата, той комуникира със сървър за управление и управление (CnC), за да изтегли допълнителни полезни товари.

Вторият етап на експлоатацията позволява на хакерите да прехващат трафика, да крадат данни, да събират файлове и да изпълняват команди. Възможно е също така да са били доставени допълнителни полезни товари, заразяващи мрежови устройства, прикрепени към рутера. Макар според Талос:

„Типът устройства, насочени от този актьор, е трудно да се защити. Те често са по периметъра на мрежата, без система за защита от проникване (IPS) и обикновено нямат налична система за защита, базирана на хоста, като например антивирусен (AV) пакет. "

Fbi Vpnfilter

ФБР поеме

След като наблюдават ситуацията в продължение на месеци, изследователите по сигурността, работещи с ФБР, успяха да определят името на домейна, използвано от сложните хакери. Според декларацията, подадена вчера, агентите са били по случая от август, когато доброволно им е бил предоставен достъп до заразен рутер от жител на Питсбърг.

След като новината за заразата беше оповестена публично, ФБР действа бързо, за да получи заповед от съдия в Пенсилвания, за да овладее контрола върху toKnowAll.com домейн.

Сега, когато домейнът CnC е под контрол на ФБР, потребителите по целия свят с рискови рискове са помолени да рестартират устройството си, за да го направят телефон у дома. Това ще даде на федерите ясна картина колко точно са засегнати устройствата по света.

ФБР заяви, че възнамерява да направи списък на всички заразени IP адреси, за да се свърже с доставчици на интернет услуги, частни и публични партньори, за да се изчисти след глобалната инфекция - преди да може да бъде създаден нов злонамерен CnC сървър за възстановяване на ботнета.

Въпрос марка доверете Fbi

Вярвате ли на ФБР?

Докато за повечето хора новината може да изглежда като успешна история за добрите момчета, като защитник на поверителността на цифровите технологии, е трудно да не чуят звънене на тревога. Екипът на ProPrivacy.com се чувства малко притеснен от придобиването на ФБР от този мощен ботнет. Докато ФБР може да използва събраните данни, за да информира заразените страни и да поправи ситуацията, какво да ги спре да използват ботнет за разгръщане на собствени полезни товари.?

Според Викрам Тхакур, технически директор в Symantec,

„Съдебната заповед позволява само на ФБР да наблюдава метаданните като IP адреса на жертвата, а не съдържанието“. Тхакур смята, че „няма опасност злонамереният софтуер да изпрати на ФБР историята на браузъра на жертвата или други чувствителни данни".

Като се има предвид, че заявлението на специалния агент поиска цялото нещо да бъде „задържано под печат“ в продължение на 30 дни, за да подпомогне разследването, не може да не се чуди дали неотдавнашната реторика на ФБР наистина отговаря на дневния му ред.

Фабрично нулиране или нов рутер?

Поради тази причина, ако наистина цените поверителността и вероятно всъщност предпочитате идеята да изпращате данните си на хакери в Кремъл, а не на федерите - бихме препоръчали да направите малко повече от включване и изключване на вашия рутер. Symantec препоръча:

"Извършването на твърдо нулиране на устройството, което възстановява фабричните настройки, трябва да го избършете и да премахнете Етап 1. При повечето устройства това може да се направи чрез натискане и задържане на малък ключ за нулиране, когато мощност цикъл на устройството. Имайте предвид обаче, че всички данни за конфигурация или идентификационни данни, съхранявани на рутера, трябва да бъдат архивирани, тъй като те ще бъдат изтрити от твърдо нулиране."

Единственият начин да бъдете напълно сигурни, че вашият рутер не е бил компрометиран от правителството на САЩ, е да излезете и да купите нов.

Ето списък на всички известни засегнати рутери и устройства, свързани с QNAP за съхранение (NAS):

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS за облачни основни рутери: Версии 1016, 1036 и 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Други QNAP NAS устройства, работещи със софтуер QTS
  • TP-Link R600VPN

Мненията са собствени на писателя.

Кредитно изображение за заглавие: Официален VPNFilter изображение от Talos

Образни кредити: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me