FBI ได้เข้าควบคุมบอตเน็ตขนาดใหญ่ที่เชื่อว่าถูกควบคุมโดยแฮกเกอร์ที่ทำงานให้เครมลิน มัลแวร์ที่รู้จักกันในชื่อ VPNFilter นั้นถูกค้นพบโดยนักวิจัยที่ทำงานที่ CISCO Talos VPNFilter อนุญาตให้แฮกเกอร์จี้เราเตอร์เปลี่ยนเป็นเครือข่าย VPN ที่เป็นอันตรายซึ่งแฮกเกอร์ใช้เพื่อปกปิดที่อยู่ IP ที่แท้จริงระหว่างการโจมตีครั้งที่สอง.


ตามรายงานที่เผยแพร่เมื่อวานนี้พบว่าปริมาณบรรจุอยู่ในสภาพปกติตั้งแต่อย่างน้อยปี 2559 ในเวลานั้นเชื่อว่ามีการติดเชื้อประมาณ 500,000 เครื่องใน 54 ประเทศ ตามความเห็นของ Talos ความซับซ้อนของระบบมัลแวร์แบบแยกส่วนน่าจะหมายถึงเป็นการโจมตีที่ได้รับการสนับสนุนจากรัฐ.

ตัวแทน FBI อ้างว่านักแสดงขู่ว่าน่าจะเป็น Sofacy ซึ่งเป็นกลุ่มแฮ็คที่ควบคุมโดยเครมลินซึ่งเป็นที่รู้จักภายใต้ชื่อมากมายในช่วงห้าปีที่ผ่านมา (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe STRONTIUM และทีมซาร์) จากหนังสือรับรอง:

"กลุ่ม Sofacy เป็นกลุ่มจารกรรมทางไซเบอร์ที่เชื่อว่ามีต้นกำเนิดมาจากรัสเซีย มีแนวโน้มที่จะดำเนินงานมาตั้งแต่ปี 2550 โดยทั่วไปกลุ่มนี้เป็นที่รู้จักกันดีว่ามีเป้าหมายเป็นรัฐบาลทหารองค์กรรักษาความปลอดภัยและเป้าหมายอื่น ๆ ที่มีมูลค่าทางปัญญา."

หมีแฟนซี 2

เช่นเดียวกับการหาประโยชน์จากเราเตอร์อื่น ๆ VPNFilter ใช้เวกเตอร์การโจมตีแบบหลายขั้นตอน เราเตอร์ของเหยื่อจะติดต่อกับเซิร์ฟเวอร์ Command and Control (CnC) เพื่อดาวน์โหลด payload เพิ่มเติม.

ขั้นตอนที่สองของการหาประโยชน์ทำให้แฮกเกอร์สามารถสกัดกั้นการจราจรขโมยข้อมูลดำเนินการรวบรวมไฟล์และดำเนินการคำสั่ง อาจเป็นไปได้ว่าอาจมีการส่งข้อมูลเพิ่มเติมไปยังอุปกรณ์เครือข่ายที่ติดอยู่กับเราเตอร์ แม้ว่าตาม Talos:

“ ประเภทของอุปกรณ์ที่กำหนดเป้าหมายโดยนักแสดงคนนี้ยากที่จะปกป้อง พวกเขามักจะอยู่ในขอบเขตของเครือข่ายโดยไม่มีระบบป้องกันการบุกรุก (IPS) และโดยทั่วไปจะไม่มีระบบป้องกันบนโฮสต์ที่มีอยู่เช่นแพ็คเกจ anti-virus (AV)”

Fbi Vpnfilter

FBI รับช่วงต่อ

หลังจากตรวจสอบสถานการณ์เป็นเวลาหลายเดือนนักวิจัยด้านความปลอดภัยที่ทำงานกับ FBI สามารถระบุชื่อโดเมนที่แฮ็กเกอร์ระดับสูงใช้ ตามคำให้การที่เป็นลายลักษณ์อักษรได้ยื่นเมื่อวานนี้ตัวแทนได้รับคดีตั้งแต่เดือนสิงหาคมเมื่อพวกเขาได้รับอนุญาตให้เข้าถึงเราเตอร์ที่ติดเชื้อโดยถิ่นที่อยู่ในพิตต์ส.

หลังจากข่าวการติดเชื้อได้รับการเปิดเผยต่อสาธารณะ FBI ได้ดำเนินการอย่างรวดเร็วเพื่อรับหมายศาลจากผู้พิพากษาเพนซิลเวเนียเพื่อยึดการควบคุมของ toKnowAll.com โดเมน.

ขณะนี้โดเมน CnC อยู่ภายใต้การควบคุมของ FBI ผู้บริโภคทั่วโลกที่มีเราเตอร์ที่มีความเสี่ยงกำลังถูกขอให้รีบูทอุปกรณ์เพื่อให้โทรศัพท์กลับบ้าน สิ่งนี้จะช่วยให้ภาพที่ชัดเจนว่าจำนวนอุปกรณ์ทั่วโลกได้รับผลกระทบอย่างชัดเจน.

FBI กล่าวว่ามีจุดประสงค์ที่จะสร้างรายชื่อที่อยู่ IP ที่ติดเชื้อทั้งหมดเพื่อติดต่อกับ ISP เอกชนและภาคสาธารณะเพื่อล้างข้อมูลหลังจากการติดเชื้อทั่วโลก - ก่อนที่จะมีการตั้งค่าเซิร์ฟเวอร์ CnC ที่เป็นอันตรายใหม่เพื่อสร้างบ็อตเน็ตใหม่.

เครื่องหมายคำถาม Trust Fbi

คุณเชื่อใจเอฟบีไอหรือไม่?

ในขณะที่คนส่วนใหญ่ข่าวอาจดูเหมือนเป็นเรื่องราวความสำเร็จสำหรับคนดีในฐานะผู้สนับสนุนความเป็นส่วนตัวแบบดิจิทัลมันยากที่จะไม่ได้ยินเสียงระฆังปลุก ทีมงานที่ ProPrivacy.com รู้สึกไม่สบายใจเล็กน้อยเกี่ยวกับการเข้าซื้อกิจการ botnet อันทรงพลังนี้ของ FBI ในขณะที่ FBI สามารถใช้ข้อมูลที่รวบรวมได้เพื่อแจ้งให้ฝ่ายที่ติดเชื้อและแก้ไขสถานการณ์สิ่งที่จะหยุดพวกเขาจากการใช้ botnet เพื่อปรับใช้ payloads ของตัวเอง?

นาย Vikram Thakur ผู้อำนวยการด้านเทคนิคของ Symantec กล่าว,

“ คำสั่งศาลอนุญาตให้ใช้ข้อมูลเมตาของ FBI เช่นเดียวกับที่อยู่ IP ของเหยื่อไม่ใช่เนื้อหา” Thakur คิดว่า“ ไม่มีอันตรายจากมัลแวร์ที่ส่งประวัติเบราว์เซอร์ของเหยื่อหรือข้อมูลที่ละเอียดอ่อนอื่น ๆ ให้ FBI".

จากคำให้การของตัวแทนพิเศษขอให้สิ่งทั้งหมดควรถูกเก็บไว้ภายใต้ตราประทับเป็นเวลา 30 วันเพื่อช่วยในการสืบสวนเราไม่สามารถช่วยได้ แต่สงสัยว่าสำนวนล่าสุดของเอฟบีไอตรงกับวาระการประชุมหรือไม่.

รีเซ็ตเป็นค่าจากโรงงานหรือเราเตอร์ใหม่?

ด้วยเหตุผลนี้หากคุณให้ความสำคัญกับความเป็นส่วนตัวอย่างแท้จริงและบางทีคุณอาจชอบความคิดในการส่งข้อมูลของคุณไปยังแฮ็กเกอร์ในเครมลินมากกว่าเฟดพวกเราขอแนะนำให้คุณทำมากกว่าปิดสวิตช์เราเตอร์ของคุณ ไซแมนเทคได้แนะนำ:

"การทำการฮาร์ดรีเซ็ตอุปกรณ์ซึ่งเรียกคืนการตั้งค่าจากโรงงานควรเช็ดทำความสะอาดแล้วลบขั้นตอนที่ 1 ด้วยอุปกรณ์ส่วนใหญ่คุณสามารถทำได้โดยการกดสวิตช์รีเซ็ตขนาดเล็กค้างไว้เมื่อกำลังหมุนอุปกรณ์ อย่างไรก็ตามโปรดจำไว้ว่ารายละเอียดการกำหนดค่าหรือข้อมูลรับรองใด ๆ ที่เก็บไว้ในเราเตอร์ควรได้รับการสำรองเพราะสิ่งเหล่านี้จะถูกลบโดยการฮาร์ดรีเซ็ต."

อย่างไรก็ตามวิธีเดียวที่จะมั่นใจได้อย่างแน่นอนว่าเราเตอร์ของคุณไม่ได้รับการโจมตีจากรัฐบาลสหรัฐอาจจะออกไปซื้อใหม่.

นี่คือรายการของเราเตอร์ที่ได้รับผลกระทบที่รู้จักทั้งหมดและอุปกรณ์จัดเก็บข้อมูลเครือข่ายที่แนบมา (NAS) QNAP:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS สำหรับ Cloud Core เราเตอร์: เวอร์ชั่น 1016, 1036 และ 1072
  • Netgear DGN2200
  • เน็ต R6400
  • เน็ต R7000
  • เน็ต R8000
  • เน็ต WNR1000
  • เน็ต WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • อุปกรณ์อื่น ๆ ของ QNAP NAS ที่ใช้งานซอฟต์แวร์ QTS
  • TP-Link R600VPN

ความคิดเห็นเป็นของผู้เขียนเอง.

เครดิตชื่อภาพ: ภาพ VPNFilter อย่างเป็นทางการจาก Talos

เครดิตรูปภาพ: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me