L’FBI prende il controllo della botnet russa – ma sei sicuro?

L'FBI ha preso il controllo di un'enorme botnet ritenuta controllata dagli hacker che lavoravano per il Cremlino. Il malware, noto come VPNFilter, è stato scoperto dai ricercatori che lavorano presso CISCO Talos. VPNFilter consente agli hacker di dirottare i router trasformandoli in una rete VPN dannosa utilizzata dagli hacker per mascherare il loro vero indirizzo IP durante gli attacchi secondari.

Secondo un rapporto pubblicato ieri, il payload è in circolazione da almeno il 2016. A quel tempo, si ritiene che abbia infettato circa 500.000 macchine in 54 paesi. Secondo Talos, la sofisticazione del sistema di malware modulare probabilmente significa che è stato un attacco sponsorizzato dallo stato.

Agenti dell'FBI hanno affermato che l'attore di minaccia probabilmente sarebbe stato Sofacy - un collettivo di hacking controllato dal Cremlino che è stato conosciuto con una moltitudine di nomi negli ultimi cinque anni (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM e Tsar Team). Dall'affidavit:

"Il gruppo Sofacy è un gruppo di cyber-spionaggio che si ritiene provenga dalla Russia. Probabilmente operativo dal 2007, il gruppo è noto per colpire governo, militari, organizzazioni di sicurezza e altri obiettivi di valore dell'intelligence."

Fancy Bears 2

Come con altri exploit basati su router, VPNFilter impiega un vettore di attacco a più stadi. Una volta installato sul router di una vittima, comunica con un server Command and Control (CnC) per scaricare payload aggiuntivi.

La seconda fase dell'exploit consente agli hacker di intercettare il traffico, rubare dati, eseguire la raccolta di file ed eseguire comandi. È anche possibile che siano stati consegnati payload aggiuntivi infettando i dispositivi di rete collegati al router. Anche se secondo Talos:

“I tipi di dispositivi presi di mira da questo attore sono difficili da difendere. Si trovano spesso sul perimetro della rete, senza alcun sistema di protezione dalle intrusioni (IPS) e in genere non dispongono di un sistema di protezione basato su host come un pacchetto antivirus (AV) ".

FF Vpnfilter

L'FBI subentra

Dopo aver monitorato la situazione per mesi, i ricercatori della sicurezza che lavoravano con l'FBI erano in grado di individuare il nome di dominio utilizzato dai sofisticati hacker. Secondo la dichiarazione giurata presentata ieri, gli agenti erano stati coinvolti nel caso da agosto, quando da un residente di Pittsburgh era stato offerto volontariamente l'accesso a un router infetto.

Dopo che le notizie sull'infezione sono state rese pubbliche, l'FBI ha agito rapidamente per ottenere un mandato da un giudice della Pennsylvania per prendere il controllo del toKnowAll.com dominio.

Ora che il dominio CnC è sotto il controllo dell'FBI, ai consumatori di tutto il mondo con router a rischio viene chiesto di riavviare il proprio dispositivo per farlo tornare a casa. Ciò fornirà ai federali un quadro chiaro di quanti dispositivi in ​​tutto il mondo sono stati colpiti.

L'FBI ha dichiarato che intende fare un elenco di tutti gli indirizzi IP infetti al fine di contattare gli ISP, i partner del settore pubblico e privato, per ripulire dopo l'infezione globale - prima che un nuovo server CnC dannoso possa essere impostato per ristabilire la botnet.

Punto interrogativo Trust Fbi

Ti fidi dell'FBI?

Mentre per la maggior parte delle persone la notizia potrebbe sembrare una storia di successo per i bravi ragazzi, come sostenitori della privacy digitale, è difficile non sentire il suono delle campane d'allarme. Il team di ProPrivacy.com è un po 'a disagio per l'acquisizione da parte dell'FBI di questa potente botnet. Mentre l'FBI potrebbe utilizzare i dati raccolti per informare le parti infette e risolvere la situazione, cosa impedisce loro di utilizzare la botnet per distribuire i propri payload?

Secondo Vikram Thakur, direttore tecnico di Symantec,

"L'ordinanza del tribunale consente all'FBI di monitorare solo metadati come l'indirizzo IP della vittima, non contenuti". Thakur ritiene che "non vi è alcun pericolo che il malware invii all'FBI la cronologia del browser di una vittima o altri dati sensibili".

Dato che l'affidavit dell'agente speciale ha richiesto che l'intera faccenda dovesse essere "tenuta sotto sigillo" per 30 giorni per aiutare l'indagine, non si può fare a meno di chiedersi se la recente retorica dell'FBI corrisponda davvero alla sua agenda.

Ripristino delle impostazioni di fabbrica o di un nuovo router?

Per questo motivo, se apprezzi davvero la privacy e forse preferisci in realtà l'idea di inviare i tuoi dati agli hacker del Cremlino piuttosto che ai federali, ti consigliamo di fare un po 'di più che accendere e spegnere il router. Symantec ha consigliato:

"L'esecuzione di un ripristino completo del dispositivo, che ripristina le impostazioni di fabbrica, dovrebbe pulirlo e rimuovere la fase 1. Con la maggior parte dei dispositivi, è possibile farlo tenendo premuto un piccolo interruttore di ripristino quando si spegne e riaccende il dispositivo. Tuttavia, tenere presente che è necessario eseguire il backup di tutti i dettagli di configurazione o le credenziali archiviate sul router poiché verranno cancellati da un hard reset."

Tuttavia, l'unico modo per essere assolutamente certi che il tuo governo statunitense non abbia compromesso il tuo router potrebbe essere quello di uscire e acquistarne uno nuovo.

Ecco un elenco di tutti i router interessati e i dispositivi NAS (Network-Attached Storage) noti noti:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS per router Cloud Core: versioni 1016, 1036 e 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Altri dispositivi QNAP NAS con software QTS
  • TP-Link R600VPN

Le opinioni sono proprie dello scrittore.

Credito immagine del titolo: VPN ufficiale Immagine del filtro da Talos

Crediti immagine: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me