Das FBI übernimmt die Kontrolle über das russische Botnetz – aber sind Sie sicher?

Das FBI hat die Kontrolle über ein massives Botnetz übernommen, von dem angenommen wird, dass es von Hackern kontrolliert wurde, die für den Kreml arbeiten. Die als VPNFilter bekannte Malware wurde von Forschern von CISCO Talos entdeckt. Mit VPNFilter können Hacker Router hijacken und in ein bösartiges VPN-Netzwerk verwandeln, in dem Hacker bei Sekundärangriffen ihre wahre IP-Adresse maskieren.

Laut einem gestern veröffentlichten Bericht ist die Nutzlast seit mindestens 2016 in der Luft. In dieser Zeit sollen rund 500.000 Maschinen in 54 Ländern infiziert worden sein. Laut Talos war das modulare Malware-System aufgrund seiner Ausgereiftheit wahrscheinlich ein staatlich geförderter Angriff.

FBI-Agenten haben behauptet, Sofacy sei wahrscheinlich der Hauptdarsteller gewesen - ein vom Kreml kontrolliertes Hacking-Kollektiv, das in den letzten fünf Jahren unter einer Vielzahl von Namen bekannt wurde (APT28, Sednit, Fancy Bears, Bauernsturm, Grizzlysteppe, STRONTIUM und Tsar Team). Aus der eidesstattlichen Erklärung:

"Die Sofacy-Gruppe ist eine Cyberspionagegruppe, die vermutlich aus Russland stammt. Die Gruppe wird voraussichtlich seit 2007 operieren und zielt in der Regel auf Behörden, Militär, Sicherheitsorganisationen und andere Ziele von nachrichtendienstlichem Wert ab."

Lust auf Bären 2

Wie bei anderen Router-basierten Exploits verwendet VPNFilter einen mehrstufigen Angriffsvektor. Sobald es auf dem Router eines Opfers installiert ist, kommuniziert es mit einem Command and Control-Server (CnC), um zusätzliche Nutzdaten herunterzuladen.

In Stufe zwei des Exploits können die Hacker Datenverkehr abfangen, Daten stehlen, Dateien sammeln und Befehle ausführen. Es ist auch möglich, dass zusätzliche Nutzdaten geliefert wurden, die an den Router angeschlossene Netzwerkgeräte infizieren. Obwohl laut Talos:

„Die Art der Geräte, auf die dieser Schauspieler abzielt, ist schwer zu verteidigen. Sie befinden sich häufig an der Peripherie des Netzwerks, ohne dass ein Intrusion Protection System (IPS) vorhanden ist, und verfügen in der Regel nicht über ein hostbasiertes Schutzsystem wie ein Anti-Virus-Paket (AV). “

Fbi Vpnfilter

FBI übernehmen

Nach monatelanger Beobachtung der Situation konnten Sicherheitsforscher, die mit dem FBI zusammenarbeiteten, den Domainnamen bestimmen, der von den hoch entwickelten Hackern verwendet wurde. Laut der gestern eingereichten eidesstattlichen Erklärung befanden sich Agenten seit August in dem Fall, als sie von einem in Pittsburgh ansässigen Mitarbeiter freiwillig Zugang zu einem infizierten Router erhielten.

Nachdem die Nachricht von der Infektion veröffentlicht worden war, handelte das FBI schnell, um einen Haftbefehl eines Richters aus Pennsylvania zu erwirken, der die Kontrolle über die US-Polizei übernehmen sollte toKnowAll.com Domain.

Jetzt, da die CnC-Domäne unter der Kontrolle des FBI steht, werden Verbraucher auf der ganzen Welt mit gefährdeten Routern gebeten, ihr Gerät neu zu starten, damit es nach Hause telefoniert. Auf diese Weise erhalten die Behörden ein klares Bild davon, wie viele Geräte auf der ganzen Welt betroffen waren.

Das FBI hat angekündigt, eine Liste aller infizierten IP-Adressen zu erstellen, um ISPs, private und öffentliche Partner zu kontaktieren und nach der globalen Infektion zu bereinigen - bevor ein neuer bösartiger CnC-Server eingerichtet werden kann, um das Botnetz wiederherzustellen.

Fragezeichen Trust Fbi

Vertraust du dem FBI??

Während für die meisten Menschen die Nachricht wie eine Erfolgsgeschichte für die Guten erscheint, ist es als Anwalt der digitalen Privatsphäre schwierig, Alarmglocken nicht zu hören. Das Team von ProPrivacy.com ist etwas besorgt über die Übernahme dieses leistungsstarken Botnetzes durch das FBI. Während das FBI die gesammelten Daten verwenden könnte, um infizierte Parteien zu informieren und die Situation zu beheben, könnte es sie davon abhalten, das Botnetz zu verwenden, um eigene Nutzlasten bereitzustellen?

Laut Vikram Thakur, technischer Direktor bei Symantec,

"Der Gerichtsbeschluss lässt das FBI nur Metadaten wie die IP-Adresse des Opfers überwachen, keine Inhalte". Thakur ist der Ansicht, dass "keine Gefahr besteht, dass die Malware dem FBI den Browserverlauf eines Opfers oder andere vertrauliche Daten sendet".

In Anbetracht der eidesstattlichen Erklärung des Spezialagenten, dass das Ganze 30 Tage lang „unter Verschluss gehalten“ werden sollte, um die Ermittlungen zu unterstützen, kann man sich nur fragen, ob die jüngste Rhetorik des FBI wirklich zu seiner Agenda passt.

Werksreset oder neuer Router?

Aus diesem Grund empfehlen wir Ihnen, ein bisschen mehr zu tun, als nur den Router ein- und auszuschalten, wenn Sie wirklich Wert auf Privatsphäre legen und vielleicht die Idee bevorzugen, Ihre Daten an Hacker im Kreml zu senden. Symantec hat empfohlen:

"Bei einem Hard-Reset des Geräts, bei dem die werkseitigen Einstellungen wiederhergestellt werden, sollte es sauber gemacht und Stufe 1 entfernt werden. Bei den meisten Geräten kann dies durch Drücken und Halten eines kleinen Reset-Schalters beim Aus- und Einschalten des Geräts erreicht werden. Beachten Sie jedoch, dass alle auf dem Router gespeicherten Konfigurationsdetails oder Anmeldeinformationen gesichert werden sollten, da diese durch einen Hard-Reset gelöscht werden."

Die einzige Möglichkeit, absolut sicher zu sein, dass Ihr Router nicht von der US-Regierung kompromittiert wurde, besteht darin, einen neuen Router zu kaufen.

Hier ist eine Liste aller bekannten betroffenen Router und NAS-Geräte (QNAP Network Attached Storage):

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS für Cloud Core Router: Versionen 1016, 1036 und 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Andere QNAP NAS-Geräte, auf denen die QTS-Software ausgeführt wird
  • TP-Link R600VPN

Meinungen sind die eigenen des Verfassers.

Title Image Credit: Offizielles VPNFilter-Image von Talos

Bildnachweis: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me