FTB ėmėsi kontroliuoti didžiulį robotų tinklą, kurį, kaip manoma, kontroliavo Kremliui dirbantys įsilaužėliai. Kenkėjišką programą, žinomą kaip VPNFilter, atrado tyrėjai, dirbantys CISCO Talos. „VPNFilter“ leidžia įsilaužėliams užgrobti maršrutizatorius, paverčiant juos kenkėjišku VPN tinklu, kurį naudoja įsilaužėliai, kad paslėptų savo tikrąjį IP adresą antrinių atakų metu.


Remiantis vakar išleista ataskaita, naudingoji apkrova buvo gamtoje nuo mažiausiai 2016 m. Manoma, kad tuo metu 54 šalyse buvo užkrėsta maždaug 500 000 mašinų. Anot Taloso, modulinės kenkėjiškos sistemos rafinuotumas greičiausiai reiškia, kad tai buvo valstybės remiama ataka.

FTB agentai teigė, kad grėsmės veikėjas greičiausiai buvo „Sofacy“ - Kremliaus kontroliuojamas įsilaužėlių kolektyvas, kuris per pastaruosius penkerius metus buvo žinomas daugybe pavadinimų (APT28, „Sednit“, „Fancy Bears“, „Pawn Storm“, „Grizzly Steppe“, STRONTIUM ir caro komanda). Iš pažymos:

"Manoma, kad grupė „Sofacy“ yra kibernetinio šnipinėjimo grupė, kilusi iš Rusijos. Tikriausiai veikianti nuo 2007 m., Žinoma, kad grupė paprastai taikosi į vyriausybes, kariuomenę, saugumo organizacijas ir kitus žvalgybos vertės objektus."

„Fancy Meškiukai“ 2

Kaip ir kituose maršrutizatoriuose, „VPNFilter“ naudoja daugiapakopį išpuolių vektorių. Vietoje aukos maršrutizatoriaus jis susisiekia su komandos ir valdymo (CnC) serveriu, kad galėtų atsisiųsti papildomų naudingų krovinių..

Antrasis išnaudojimo etapas leidžia įsilaužėliams perimti srautą, vogti duomenis, rinkti failus ir vykdyti komandas. Taip pat įmanoma, kad papildomos naudingos apkrovos galėjo būti pristatytos užkrėsdamos tinklo įrenginius, pritvirtintus prie maršrutizatoriaus. Nors pasak Taloso:

„Šio veikėjo taikomus prietaisus sunku apginti. Jie dažnai būna tinklo perimetre, neturi įdiegtos apsaugos nuo įsilaužimo sistemos (IPS) ir paprastai neturi turimos pagrindinės kompiuterio apsaugos sistemos, tokios kaip antivirusinis (AV) paketas. “

„Fbi Vpnfilter“

FTB perimti

Stebėdamas keletą mėnesių situaciją, saugumo tyrinėtojai, dirbantys su FTB, galėjo tiksliai nustatyti domeno vardą, kurį naudoja modernūs įsilaužėliai. Remiantis vakar pateiktu pažyma, agentai dalyvavo byloje nuo rugpjūčio, kai Pitsburgo gyventojas jiems savanoriškai suteikė prieigą prie užkrėsto maršrutizatoriaus..

Po to, kai buvo paskelbta žinia apie užkrėtimą, FTB greitai sureagavo, kad gautų Pensilvanijos teisėjo orderį konfiskuoti toKnowAll.com domenas.

Dabar, kai CnC domeną kontroliuoja FTB, viso pasaulio vartotojų, turinčių rizikingus maršrutizatorius, prašoma perkrauti savo įrenginį, kad jis taptų namie. Tai suteiks feds aiškų vaizdą, kiek tiksliai prietaisai paveikti visame pasaulyje.

FTB sakė ketinanti sudaryti visų užkrėstų IP adresų sąrašą, kad susisiektų su IPT, privataus ir viešojo sektoriaus partneriais, kad būtų išvalyta po visuotinės infekcijos - prieš pradedant nustatyti naują kenksmingą CnC serverį, kad būtų atkurtas robotas..

Klausimų ženklas Pasitikėjimas Fbi

Ar pasitikite FTB??

Nors daugumai žmonių naujienos gali pasirodyti kaip sėkmės istorija, nes vaikinai, kaip skaitmeninio privatumo gynėjas, sunku negirdėti, kaip skamba pavojaus varpai. ProPrivacy.com komanda jaučiasi šiek tiek neramiai, kai FTB įsigijo šį galingą roboto tinklą. Nors FTB galėtų surinktus duomenis panaudoti informuotoms užkrėstoms šalims ir ištaisyti situaciją, kas sustabdytų jas naudotis robotu tinklu, kad galėtų dislokuoti savo naudingas apkrovas?

Pasak „Symantec“ techninio direktoriaus Vikramo Thakuro,

„Teismo įsakymu FTB leidžia tik stebėti metaduomenis, tokius kaip aukos IP adresas, o ne turinys“. Thakuras mano, kad „nėra jokio pavojaus, kad kenkėjiška programa nusiųs FTB aukos naršyklės istoriją ar kitus neskelbtinus duomenis".

Atsižvelgiant į tai, kad specialiojo agento rašytiniuose dokumentuose buvo prašoma 30 dienų „laikyti antspaudą“, kad būtų lengviau atlikti tyrimą, negalima nesistebėti, ar paskutinė FTB retorika iš tikrųjų atitinka jos darbotvarkę..

Gamyklinis nustatymas arba naujas maršrutizatorius?

Dėl šios priežasties, jei jūs tikrai vertinate privatumą ir galbūt jums labiau patinka idėja savo duomenis nusiųsti įsilaužėliams Kremliuje, o ne feds - mes rekomenduotume padaryti šiek tiek daugiau, nei tik įjungti ir išjungti maršrutizatorių. „Symantec“ patarė:

"Atlikdami sunkius įrenginio nustatymus, atkuriančius gamyklinius nustatymus, jį švariai nušluostykite ir pašalinkite 1 etapą. Daugumoje įrenginių tai galima padaryti paspaudžiant ir laikant mažą iš naujo nustatymo jungiklį, kai prietaisas maitinamas iš naujo. Tačiau atminkite, kad bet kokia maršrutizatoriuje saugoma konfigūracijos informacija ar kredencialai turėtų būti kuriami kuriant atsargines kopijas, nes juos sunaikins standusis nustatymas."

Tačiau vienintelis būdas įsitikinti, kad JAV vyriausybė nepakenkė jūsų maršrutizatoriui, yra išeiti ir nusipirkti naują..

Čia yra visų žinomų paveiktų maršrutizatorių ir QNAP prie tinklo prijungtos saugyklos (NAS) įrenginių sąrašas:

  • „Linksys E1200“
  • „Linksys E2500“
  • „Linksys“ WRVS4400N
  • „Mikrotik RouterOS“, skirta „Cloud Core“ maršrutizatoriams: 1016, 1036 ir 1072 versijos
  • „Netgear DGN2200“
  • „Netgear R6400“
  • „Netgear R7000“
  • „Netgear R8000“
  • „Netgear WNR1000“
  • „Netgear WNR2000“
  • QNAP TS251
  • „QNAP TS439 Pro“
  • Kiti QNAP NAS įrenginiai, kuriuose veikia QTS programinė įranga
  • „TP-Link R600VPN“

Nuomonės yra pačios rašytojos.

Pavadinimo atvaizdo kreditas: oficialus „VPNFilter“ vaizdas iš „Talos“

Vaizdo kreditai: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me