FBI a preluat controlul asupra unei botnet-uri masive despre care se crede că a fost controlat de hackerii care lucrează pentru Kremlin. Malware, cunoscut sub numele de VPNFilter, a fost descoperit de cercetătorii care lucrează la CISCO Talos. VPNFilter permite hackerilor să deturne routerele transformându-i într-o rețea VPN dăunătoare folosită de hackeri pentru a masca adevărata lor adresă IP în timpul atacurilor secundare.


Potrivit unui raport publicat ieri, sarcina utilă a fost în sălbăticie încă din 2016. În acel timp, se crede că a infectat aproximativ 500.000 de aparate din 54 de țări. Potrivit lui Talos, sofisticarea sistemului malware modular înseamnă probabil că a fost un atac sponsorizat de stat.

Agenții FBI au susținut că actorul amenințător este probabil Sofacy - un colectiv de hacking controlat de Kremlin, cunoscut sub o multitudine de nume în ultimii cinci ani (APT28, Sednit, Fancy Bears, Pion Storm, Grizzly Steppe, STRONTIUM și echipa țarului). Din declarația:

"Grupul Sofacy este un grup ciberspionaj despre care se crede că provine din Rusia. Funcționând probabil din 2007, grupul este cunoscut că țintește de regulă guvernul, armata, organizațiile de securitate și alte ținte cu valoare de informații."

Ursi fantezieni 2

Ca și în cazul altor exploatări bazate pe router, VPNFilter folosește un vector de atac cu mai multe etape. Odată plasat pe routerul unei victime, acesta comunică cu un server de comandă și control (CnC) pentru a descărca sarcini utile suplimentare.

Etapa a doua a exploatării permite hackerilor să intercepteze traficul, să fure date, să efectueze colectarea fișierelor și să execute comenzi. Este, de asemenea, posibil să fi fost livrate sarcini suplimentare care infectează dispozitivele de rețea atașate la router. Deși în conformitate cu Talos:

„Tipurile de dispozitive vizate de acest actor sunt dificil de apărat. Acestea se găsesc frecvent în perimetrul rețelei, fără sistem de protecție împotriva intruziunilor (IPS) în loc și, de obicei, nu au un sistem de protecție disponibil pe gazdă, cum ar fi un pachet anti-virus (AV). "

Fbi Vpnfilter

FBI preia

După ce au monitorizat situația de luni întregi, cercetătorii de securitate care lucrează cu FBI au reușit să identifice numele de domeniu folosit de hackerii sofisticați. Conform declarației depuse ieri, agenții au fost în cauză din august, când un rezident din Pittsburgh a primit în mod voluntar accesul la un router infectat..

După ce știrea despre infecție a fost făcută publică, FBI a acționat rapid pentru a obține un mandat de la un judecător din Pennsylvania pentru preluarea controlului asupra toKnowAll.com domeniu.

Acum, că domeniul CnC este sub control FBI, consumatorii din întreaga lume cu routere cu risc sunt rugați să-și repornească dispozitivul pentru a-l face telefonul acasă. Acest lucru va oferi federalii o imagine clară despre exact cât de multe dispozitive din întreaga lume au fost afectate.

FBI a spus că intenționează să facă o listă cu toate adresele IP infectate pentru a contacta ISP-urile, partenerii din sectorul privat și sectorul public, pentru a curăța după infecția globală - înainte ca un nou server CnC rău intenționat să poată fi creat pentru a restabili botnetul.

Semn de întrebare Trust Fbi

Ai încredere în FBI?

În timp ce pentru majoritatea oamenilor, știrile ar putea părea o poveste de succes pentru băieții buni, în calitate de avocat al confidențialității digitale, este greu să nu auziți că sună clopote de alarmă. Echipa de la ProPrivacy.com se simte puțin neliniștită în ceea ce privește achiziția de către FBI a acestui botnet puternic. În timp ce FBI ar putea folosi datele colectate pentru a informa părțile infectate și pentru a remedia situația, ce este să le oprească să folosească botnetul pentru a implementa sarcini utile proprii?

Potrivit lui Vikram Thakur, director tehnic la Symantec,

„Ordonanța judecătorească nu permite decât să monitorizeze metadatele FBI precum adresa IP a victimei, nu conținutul”. Thakur consideră că „nu există pericolul ca malware să trimită FBI istoricul browserului unei victime sau alte date sensibile".

Având în vedere că declarația agentului special a solicitat ca totul să fie „ținut sub sigiliu” timp de 30 de zile pentru a ajuta ancheta, nu putem să nu ne întrebăm dacă retorica recentă a FBI se potrivește cu adevărat pe agenda sa.

Resetare din fabrică sau un router nou?

Din acest motiv, dacă apreciați cu adevărat confidențialitatea și poate preferați de fapt ideea de a trimite datele către hackerii din Kremlin, mai degrabă decât pentru feds - vă recomandăm să faceți un pic mai mult decât să vă conectați și dezactivați routerul. Symantec a recomandat:

"Efectuarea unei resetări dure a dispozitivului, care restabilește setările din fabrică, ar trebui să o șteargă curată și să îndepărteze Etapa 1. Cu majoritatea dispozitivelor, acest lucru se poate face apăsând și ținând apăsat un mic comutator de resetare la pornirea dispozitivului. Cu toate acestea, rețineți că toate detaliile de configurare sau datele de acreditare stocate pe router ar trebui să fie salvate, deoarece acestea vor fi șterse de o resetare hard."

Cu toate acestea, singura modalitate de a fi absolut sigur că routerul dvs. nu a fost compromis de guvernul SUA poate fi să ieșiți și să cumpărați unul nou.

Iată o listă a tuturor routerelor afectate cunoscute și a dispozitivelor de stocare atașate la rețea QNAP (NAS):

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS pentru Cloud Core Routers: versiunile 1016, 1036 și 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Alte dispozitive NAS QNAP care rulează software QTS
  • TP-Link R600VPN

Opiniile sunt proprii scriitorului.

Credit imagine titlu: VPNFilter oficial imagine de la Talos

Credite imagine: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me