FBI przejmuje kontrolę nad rosyjskim botnetem – ale czy jesteś bezpieczny?

FBI przejęło kontrolę nad ogromnym botnetem, który prawdopodobnie był kontrolowany przez hakerów pracujących dla Kremla. Złośliwe oprogramowanie, znane jako VPNFilter, zostało odkryte przez badaczy pracujących w CISCO Talos. VPNFilter pozwala hakerom przejmować routery, przekształcając je w złośliwą sieć VPN wykorzystywaną przez hakerów do maskowania ich prawdziwego adresu IP podczas ataków wtórnych.


Według opublikowanego wczoraj raportu, ładunek jest na wolności od co najmniej 2016 roku. Uważa się, że w tym czasie zainfekował około 500 000 maszyn w 54 krajach. Według Talosa wyrafinowanie modułowego systemu szkodliwego oprogramowania prawdopodobnie oznacza, że ​​był to atak sponsorowany przez państwo.

Agenci FBI twierdzili, że groźbą może być Sofacy - kolektyw hakerski kontrolowany przez Kreml, znany pod wieloma nazwami w ciągu ostatnich pięciu lat (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM i zespół carski). Z oświadczenia pod przysięgą:

"Grupa Sofacy to grupa cyberszpiegowska, która prawdopodobnie pochodzi z Rosji. Grupa, działająca prawdopodobnie od 2007 roku, zazwyczaj atakuje rząd, wojsko, organizacje bezpieczeństwa i inne cele o wartości wywiadowczej."

Fantazyjne niedźwiedzie 2

Podobnie jak w przypadku innych exploitów opartych na routerach, VPNFilter stosuje wielostopniowy wektor ataku. Po umieszczeniu na routerze ofiary komunikuje się z serwerem Command and Control (CnC) w celu pobrania dodatkowych ładunków.

Drugi etap exploita umożliwia hakerom przechwytywanie ruchu, kradzież danych, zbieranie plików i wykonywanie poleceń. Możliwe jest również, że dostarczone zostały dodatkowe ładunki infekujące urządzenia sieciowe podłączone do routera. Chociaż według Talosa:

„Trudno obronić rodzaje urządzeń, na które celuje ten aktor. Często znajdują się na obrzeżach sieci, bez systemu ochrony przed włamaniami (IPS) i zazwyczaj nie mają dostępnego systemu ochrony opartego na hoście, takiego jak pakiet antywirusowy (AV). ”

Fbi Vpnfilter

FBI przejmuje kontrolę

Po miesiącach monitorowania sytuacji badacze bezpieczeństwa współpracujący z FBI byli w stanie wskazać nazwę domeny używaną przez wyrafinowanych hakerów. Według oświadczenia złożonego wczoraj, agenci zajmują się tą sprawą od sierpnia, kiedy to mieszkaniec Pittsburgha dobrowolnie dał im dostęp do zainfekowanego routera.

Po upublicznieniu wiadomości o infekcji FBI podjęło szybkie działania w celu uzyskania nakazu od sędziego z Pensylwanii o przejęciu kontroli nad toKnowAll.com domena.

Teraz, gdy domena CnC jest pod kontrolą FBI, konsumenci na całym świecie z routerami o podwyższonym ryzyku proszeni są o ponowne uruchomienie urządzenia, aby mogło zadzwonić do domu. To da federalnym jasny obraz dokładnie, ile urządzeń na całym świecie zostało dotkniętych.

FBI oświadczyło, że zamierza sporządzić listę wszystkich zainfekowanych adresów IP w celu skontaktowania się z dostawcami usług internetowych, partnerami prywatnymi i publicznymi w celu wyczyszczenia po globalnej infekcji - zanim nowy złośliwy serwer CnC będzie można skonfigurować w celu ponownego uruchomienia botnetu.

Znak zapytania Trust Fbi

Czy ufasz FBI??

Podczas gdy dla większości ludzi wiadomości mogą wydawać się sukcesem dobrych ludzi, jako cyfrowy zwolennik prywatności, trudno nie usłyszeć dzwonków alarmowych. Zespół ProPrivacy.com jest trochę zaniepokojony przejęciem tego potężnego botnetu przez FBI. Chociaż FBI może wykorzystać zebrane dane do poinformowania zainfekowanych stron i naprawienia sytuacji, co powstrzyma ich przed użyciem botnetu do wdrożenia własnych ładunków?

Według Vikrama Thakura, dyrektora technicznego w firmie Symantec,

„Orzeczenie sądowe pozwala FBI jedynie monitorować metadane, takie jak adres IP ofiary, a nie treść”. Thakur uważa, że ​​„nie ma niebezpieczeństwa, że ​​złośliwe oprogramowanie wyśle ​​FBI historię przeglądarki ofiary lub inne poufne dane".

Biorąc pod uwagę, że oświadczenie specjalnego agenta zażądało, aby całość była „trzymana pod pieczęcią” przez 30 dni, aby wspomóc dochodzenie, nie można nie zastanawiać się, czy ostatnia retoryka FBI naprawdę pasuje do jej programu.

Przywracanie ustawień fabrycznych lub nowy router?

Z tego powodu, jeśli naprawdę cenisz sobie prywatność i być może wolisz pomysł wysyłania danych do hakerów na Kremlu niż do federalnych - zalecamy zrobienie czegoś więcej niż tylko włączenie i wyłączenie routera. Firma Symantec doradziła:

"Wykonanie twardego resetu urządzenia, które przywraca ustawienia fabryczne, powinno go wyczyścić i usunąć etap 1. W przypadku większości urządzeń można to zrobić, naciskając i przytrzymując mały przycisk resetowania podczas wyłączania zasilania urządzenia. Należy jednak pamiętać, że należy wykonać kopię zapasową wszelkich danych konfiguracyjnych lub poświadczeń przechowywanych na routerze, ponieważ zostaną one wyczyszczone przez twardy reset."

Jednak jedynym sposobem, aby mieć absolutną pewność, że rząd nie ucierpiał na twoim routerze, może wyjść i kupić nowy.

Oto lista wszystkich znanych routerów i urządzeń pamięci masowej QNAP podłączonych do sieci (NAS):

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS dla routerów Cloud Core: wersje 1016, 1036 i 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Inne urządzenia QNAP NAS z oprogramowaniem QTS
  • TP-Link R600VPN

Opinie należą do autora.

Kredyt obrazu tytułowego: Oficjalny obraz VPNFilter od Talos

Zdjęcia: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me