FBI는 크렘린을 위해 일하는 해커들에 의해 통제 된 것으로 여겨지는 방대한 봇넷에 대한 통제권을 장악했습니다. VPNFilter로 알려진 멀웨어는 CISCO Talos에서 일하는 연구원들에 의해 발견되었습니다. VPNFilter를 사용하면 해커가 라우터를 가로 채서 2 차 공격 중에 해커가 실제 IP 주소를 마스킹하는 데 사용하는 악성 VPN 네트워크로 전환 할 수 있습니다.


어제 발표 된 보고서에 따르면, 페이로드는 적어도 2016 년 이후로 심각해졌습니다. 그 당시 54 개국에서 약 500,000 대의 컴퓨터가 감염된 것으로 추정됩니다. Talos에 따르면 모듈 식 맬웨어 시스템의 정교함은 이것이 국가가 후원 한 공격 이었음을 의미한다고합니다..

FBI 요원들은 위협 행위자가 지난 5 년 동안 수많은 이름으로 알려진 크렘린에 의해 통제되는 해킹 집단 인 소파 시일 가능성이 있다고 주장했다 (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM 및 차르 팀). 진술서에서 :

"Sofacy 그룹은 러시아에서 시작된 것으로 여겨지는 사이버 스파이 그룹입니다. 2007 년부터 운영 될 것으로 보이는이 그룹은 일반적으로 정부, 군사, 보안 조직 및 기타 지능 가치 목표를 대상으로하는 것으로 알려져 있습니다.."

멋진 곰 2

다른 라우터 기반 익스플로잇과 마찬가지로 VPNFilter는 다단계 공격 벡터를 사용합니다. 피해자의 라우터에 설치되면 추가 페이로드를 다운로드하기 위해 CnC (Command and Control) 서버와 통신합니다..

2 단계 악용은 해커가 트래픽을 가로 채고 데이터를 훔치며 파일 수집을 수행하고 명령을 실행할 수 있도록합니다. 라우터에 연결된 네트워크 장치를 감염시키는 추가 페이로드가 전달되었을 수도 있습니다. Talos에 따르면 :

“이 배우가 목표로하는 기기의 유형은 방어하기가 어렵습니다. IPS (Intrusion Protection System)가없는 네트워크 주변에 자주 있으며, 일반적으로 안티 바이러스 (AV) 패키지와 같은 사용 가능한 호스트 기반 보호 시스템이 없습니다.”

Fbi Vpn 필터

FBI 인수

몇 달 동안 상황을 모니터링 한 후 FBI와 함께 일하는 보안 연구원은 정교한 해커가 사용하는 도메인 이름을 정확히 찾아 낼 수있었습니다. 어제 제출 된 진술서에 따르면, 에이전트는 피츠버그 주민이 감염된 라우터에 자발적으로 접근 한 8 월 이후 사건에 처해 있었다..

감염에 대한 소식이 공개 된 후 FBI는 펜실베이니아 판사로부터 toKnowAll.com 도메인.

CnC 도메인은 FBI 제어하에 있으며, 위험에 처한 라우터를 가진 전 세계 소비자들은 전화를 집으로 만들기 위해 장치를 재부팅해야합니다. 이것은 전 세계에 얼마나 많은 장치가 영향을 받았는지를 명확하게 보여줄 것입니다..

FBI는 ISP, 개인 및 공공 부문 파트너에게 연락하여 전 세계 감염 후 치료를 위해 감염된 모든 IP 주소 목록을 작성하려고한다고 밝혔다..

물음표 신뢰 Fbi

FBI를 믿습니까??

대부분의 사람들에게 뉴스는 좋은 사람들에게는 성공한 이야기처럼 보일지 모르지만 디지털 개인 정보 보호 옹호자로서 알람 벨 소리가 들리지 않습니다. ProPrivacy.com 팀은이 강력한 봇넷에 대한 FBI의 인수에 대해 다소 불안감을 느낍니다. FBI는 수집 된 데이터를 사용하여 감염된 당사자에게 정보를 제공하고 상황을 해결할 수 있지만, 봇넷을 사용하여 자체 페이로드를 배포하지 못하게하는 방법?

시만텍의 기술 책임자 Vikram Thakur에 따르면,

“법원 명령에 따라 FBI는 콘텐츠가 아닌 피해자의 IP 주소와 같은 메타 데이터 만 모니터링 할 수 있습니다.” Thakur는“악성 프로그램이 FBI에 피해자의 브라우저 기록 또는 기타 민감한 데이터를 보내는 위험은 없다고 경고합니다.".

특수 요원의 진술서가 조사를 돕기 위해 모든 것을 30 일 동안 '봉인'해야한다고 요청한 경우, FBI의 최근 수사가 실제로 의제와 일치하는지 궁금해 할 수는 없습니다..

공장 초기화 또는 새 라우터?

이러한 이유로 프라이버시를 중요하게 생각하고 실제로 페더레이션 대신 크렘린의 해커에게 데이터를 보내는 아이디어를 선호한다면 라우터를 켜고 끄는 것보다 조금 더하는 것이 좋습니다. 시만텍은 다음과 같이 조언했습니다.

"공장 설정을 복원하는 장치의 하드 리셋을 수행하면 장치를 깨끗이 닦고 1 단계를 제거해야합니다. 대부분의 장치에서는 장치의 전원을 껐다가 켤 때 작은 리셋 스위치를 누르고 있으면됩니다. 그러나 라우터에 저장된 구성 세부 정보 또는 자격 증명은 하드 리셋으로 지워 지므로 백업해야합니다.."

그러나 라우터가 미국 정부에 의해 훼손되지 않았다는 것을 확실히 확신 할 수있는 유일한 방법은 나가서 새 라우터를 구입하는 것입니다.

영향을받는 모든 알려진 라우터 및 QNAP NAS (Network-Attached Storage) 장치 목록은 다음과 같습니다.

  • 링크시스 E1200
  • 링크시스 E2500
  • 링크시스 WRVS4400N
  • Cloud Core 라우터 용 Mikrotik RouterOS : 버전 1016, 1036 및 1072
  • 넷기어 DGN2200
  • 넷기어 R6400
  • 넷기어 R7000
  • 넷기어 R8000
  • 넷기어 WNR1000
  • 넷기어 WNR2000
  • QNAP TS251
  • QNAP TS439 프로
  • QTS 소프트웨어를 실행하는 다른 QNAP NAS 장치
  • TP-Link R600VPN

의견은 작가 자신의 의견입니다.

타이틀 이미지 크레딧 : Talos의 공식 VPNFilter 이미지

이미지 크레디트 : Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me