FBI ir izmantojis kontroli pār masveida robottīklu, kuru, domājams, kontrolēja Kremlim strādājošie hakeri. Ļaunprātīgo programmatūru, kas pazīstama kā VPNFilter, atklāja pētnieki, kas strādā CISCO Talos. VPNFilter ļauj hakeriem nolaupīt maršrutētājus, pārvēršot tos ļaunprātīgā VPN tīklā, kuru hakeri izmanto, lai maskētu viņu patieso IP adresi sekundāro uzbrukumu laikā.


Saskaņā ar vakar publiskoto ziņojumu krava ir bijusi savvaļā vismaz kopš 2016. gada. Tiek uzskatīts, ka tajā laikā ir inficēti aptuveni 500 000 mašīnu 54 valstīs. Pēc Talosa teiktā, modulārās ļaunprogrammatūras sistēmas sarežģītība, iespējams, nozīmē, ka tas bija valsts atbalstīts uzbrukums.

FBI pārstāvji ir apgalvojuši, ka draudu aktieris, visticamāk, ir bijis Sofacy - Kremļa kontrolēts hakeru kolektīvs, kurš pēdējos piecos gados ir pazīstams ar daudziem nosaukumiem (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM un cara komanda). No zvēresta apliecinoša paziņojuma:

"Grupa Sofacy ir kiberspiegijas grupa, kas, domājams, ir cēlusies no Krievijas. Iespējams, ka grupa darbojas kopš 2007. gada, un tā parasti ir paredzēta valdības, militārām, drošības organizācijām un citiem izlūkošanas vērtības mērķiem."

Iedomātā lāči 2

Tāpat kā citos maršrutētāju balstītos ekspluatācijas gadījumos, VPNFilter izmanto daudzpakāpju uzbrukuma vektoru. Kad tas atrodas upura maršrutētājā, tas sazinās ar komandu un vadības (CnC) serveri, lai lejupielādētu papildu kravas..

Otrais ekspluatācijas posms ļauj hakeriem pārtvert satiksmi, nozagt datus, veikt failu savākšanu un izpildīt komandas. Iespējams, ka ir piegādātas arī papildu kravas, inficējot tīkla ierīces, kas pievienotas maršrutētājam. Lai arī pēc Talosa teiktā:

“Ierīču veidu, uz kuru mērķē šis aktieris, ir grūti aizstāvēt. Tie bieži atrodas tīkla perimetrā, un tajos nav uzstādīta ielaušanās aizsardzības sistēma (IPS), un parasti tām nav pieejama pieejama uz resursdatoriem balstīta aizsardzības sistēma, piemēram, pretvīrusu (AV) pakete. ”

Fbi Vpnfilter

FBI pārņem

Pēc mēnešiem ilgas situācijas novērošanas drošības pētnieki, kas strādāja ar FBI, spēja precīzi noteikt domēna vārdu, kuru izmanto sarežģītie hakeri. Saskaņā ar vakar iesniegto zvērestu apliecinājumu aģentiem bija lieta kopš augusta, kad Pitsburgas iedzīvotājs viņiem brīvprātīgi ļāva piekļūt inficētam maršrutētājam..

Pēc tam, kad ziņas par infekciju tika publiskotas, FBI rīkojās ātri, lai iegūtu Pensilvānijas tiesneša orderi, lai kontrolētu vietne toKnowAll.com domēns.

Tagad, kad CnC domēns ir pakļauts FBI kontrolei, patērētājiem visā pasaulē ar riska maršrutētājiem tiek lūgts pārstartēt ierīci, lai tā varētu nokļūt mājās. Tas feds sniegs skaidru priekšstatu par to, cik tieši ierīces tika ietekmētas visā pasaulē.

FBI paziņoja, ka plāno izveidot visu inficēto IP adrešu sarakstu, lai sazinātos ar ISP, privātā un publiskā sektora partneriem, lai sakoptos pēc globālās inficēšanās - pirms var uzstādīt jaunu ļaunprātīgu CnC serveri, lai atjaunotu robottīklu.

Jautājumu zīmes uzticības Fbi

Vai uzticaties FBI??

Lai gan lielākajai daļai cilvēku jaunie puiši varētu šķist veiksmes stāsts, kā digitālās privātuma aizstāvei ir grūti nedzirdēt trauksmes zvanus. ProPrivacy.com komanda jūtas mazliet nemierīgi par FBI iegādāto šo jaudīgo robottīklu. Lai gan FBI varēja savāktos datus izmantot, lai informētu inficētās puses un izlabotu situāciju, kas viņiem liedz izmantot robottīklu, lai izvietotu savas kravas?

Pēc Viktora Thakura, Symantec tehniskā direktora teiktā,

“Ar tiesas rīkojumu FIB ļauj uzraudzīt tikai tādus metadatus kā upura IP adrese, nevis saturs”. Thakur uzskata, ka “nav briesmu, ka ļaunprātīga programmatūra nosūtītu FBI upura pārlūka vēsturi vai citu sensitīvu informāciju".

Ņemot vērā, ka īpašā aģenta zvērestu apliecinošs paziņojums pieprasīja, lai visa lieta 30 dienas tiktu “turēta aizzīmogojumā”, lai atbalstītu izmeklēšanu, nevar brīnīties, vai FBI nesenā retorika patiešām atbilst tās darba kārtībai.

Rūpnīcas atiestatīšana vai jauns maršrutētājs?

Šī iemesla dēļ, ja jūs patiešām augstu vērtējat privātumu un, iespējams, patiesībā jūs dodat priekšroku idejai sūtīt savus datus Kremļa hakeriem, nevis feds, mēs iesakām darīt nedaudz vairāk, kā tikai ieslēgt un izslēgt maršrutētāju. Symantec ieteica:

"Veicot cietu ierīces atiestatīšanu, ar kuras palīdzību tiek atjaunoti rūpnīcas iestatījumi, tā jānotīra un jānoņem 1. posms. Lielākajā daļā ierīču to var izdarīt, nospiežot un turot nelielu atiestatīšanas slēdzi, kad ierīce tiek darbināta. Tomēr ņemiet vērā, ka visa maršrutētājā saglabātā konfigurācijas informācija vai akreditācijas dati ir jāpapildina, jo tos notīrīs cietais atiestatījums."

Tomēr vienīgais veids, kā būt pilnīgi drošam, ka jūsu valdība nav apdraudējusi jūsu maršrutētāju, ir iet ārā un iegādāties jaunu.

Šeit ir visu zināmo ietekmēto maršrutētāju un QNAP tīklam pievienotās atmiņas (NAS) ierīču saraksts:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS mākoņdatošanas maršrutētājiem: versijas 1016, 1036 un 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Citas QNAP NAS ierīces, kurās darbojas QTS programmatūra
  • TP-Link R600VPN

Atzinumi ir rakstnieka paša ziņā.

Nosaukuma attēla kredīts: Talos oficiālais VPNFilter attēls

Attēlu kredīti: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me