FBI tar kontroll över ryska botnet – men är du säker?

FBI har tagit kontroll över ett massivt botnet som tros ha kontrollerats av hackare som arbetar för Kreml. Malware, känt som VPNFilter, upptäcktes av forskare som arbetar på CISCO Talos. VPNFilter tillåter hackare att kapa routrar som förvandlar dem till ett skadligt VPN-nätverk som används av hackare för att maskera sin verkliga IP-adress under sekundära attacker.

Enligt en rapport som släpptes igår har nyttolasten varit i naturen sedan minst 2016. Under den tiden tros det ha infekterat cirka 500 000 maskiner i 54 länder. Enligt Talos betyder förfining av det modulära malware-systemet troligtvis att det var en statligt sponsrad attack.

FBI-agenter har hävdat att hotaktören sannolikt har varit Sofacy - ett hacking-kollektiv som kontrollerats av Kreml som har varit känt under ett antal namn under de senaste fem åren (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM och Tsar Team). Från förklaringen:

"Sofacy-gruppen är en cyber-spionagrupp som tros ha sitt ursprung i Ryssland. Gruppen är trolig verksam sedan 2007 och är känd för att vanligtvis rikta in sig mot regering, militär, säkerhetsorganisationer och andra mål av underrättelsevärde."

Fancy Bears 2

Liksom med andra routerbaserade utnyttjanden använder VPNFilter en flerstegs attackvektor. När den är på plats på ett offer router, kommunicerar den med en Command and Control (CnC) server för att ladda ner ytterligare nyttolaster.

Steg två av utnyttjandet tillåter hackarna att fånga trafik, stjäla data, utföra filsamling och utföra kommandon. Det är också möjligt att ytterligare nyttolaster kan ha levererats och infekterar nätverksenheter anslutna till routern. Men enligt Talos:

”Den typ av enheter som denna skådespelare riktar sig till är svår att försvara. De är ofta i nätverkets omkrets utan ingreppsskyddssystem (IPS) på plats och har vanligtvis inte ett tillgängligt värdbaserat skyddssystem som ett antiviruspaket (AV). ”

Fbi Vpnfilter

FBI tar över

Efter att ha övervakat situationen i månader kunde säkerhetsforskare som arbetade med FBI fastställa det domännamn som används av de sofistikerade hackarna. Enligt den utfärdade förklaringen i går hade agenter varit i mål sedan augusti då de frivilligt fick tillgång till en infekterad router av en bosatt i Pittsburgh.

Efter att nyheterna om infektionen offentliggjordes agerade FBI snabbt för att få ett beslut från en domare i Pennsylvania för att gripa kontrollen över toKnowAll.com domän.

Nu när CnC-domänen är under FBI-kontroll uppmanas konsumenter runt om i världen med routrar med risk att starta om sin enhet för att få den att ringa hem. Detta ger fedsna en tydlig bild av exakt hur många enheter runt om i världen som drabbades.

FBI sa att den avser att göra en lista över alla infekterade IP-adresser för att kontakta ISP: er, privata och offentliga partners för att städa upp efter den globala infektionen - innan en ny skadlig CnC-server kan ställas in för att återupprätta botnet.

Frågetecken Förtroende Fbi

Lita du på FBI?

Även om nyheterna för de flesta kan verka som en framgångshistoria för de goda killarna, som en förespråkare för digital sekretess, är det svårt att inte höra larmklockor ringa. Teamet på ProPrivacy.com känner sig lite besvärligt med FBI: s förvärv av detta kraftfulla botnet. Medan FBI kunde använda de uppgifter som samlats in för att informera infekterade parter och fixa situationen, vad är det som hindrar dem från att använda botnet för att distribuera sin egen nyttolast?

Enligt Vikram Thakur, teknisk chef på Symantec,

”Domstolsbeslutet låter FBI bara övervaka metadata som offrets IP-adress, inte innehåll”. Thakur räknar med att "det inte finns någon risk för att skadlig programvara skickar FBI ett offrets webbläsarhistorik eller annan känslig information".

Med tanke på att den särskilda agentens befattning begärde att allt skulle hållas "tätat" i 30 dagar för att hjälpa utredningen, kan man inte låta bli att undra om FBI: s senaste retorik verkligen matchar sin agenda.

Fabriksåterställning eller en ny router?

Av denna anledning, om du verkligen värdesätter integritet, och kanske föredrar faktiskt idén att skicka dina data till hackare i Kreml snarare än feds - rekommenderar vi att du gör lite mer än bara att slå på och stänga av routern. Symantec har rekommenderat:

"Att utföra en hård återställning av enheten, som återställer fabriksinställningarna, bör torka av den rena och ta bort steg 1. Med de flesta enheter kan detta göras genom att hålla in en liten återställningsströmbrytare när du strömcyklar enheten. Kom dock ihåg att alla konfigurationsdetaljer eller referenser lagrade i routern bör säkerhetskopieras eftersom dessa kommer att raderas av en hård återställning."

Det enda sättet att vara helt säker på att din router inte har äventyrats av den amerikanska regeringen kan vara att gå ut och köpa en ny.

Här är en lista över alla kända påverkade routrar och QNAP-nätverksanslutna lagringsenheter (NAS):

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS för Cloud Core Routers: versionerna 1016, 1036 och 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Andra QNAP NAS-enheter som kör QTS-programvara
  • TP-Link R600VPN

Åsikter är författarens egna.

Titelbild kredit: Officiell VPNFilter-bild från Talos

Bildkrediter: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me