FBI ovládá ruský botnet – ale jste v bezpečí?

FBI převzala kontrolu nad masivním botnetem, o kterém se předpokládá, že byl ovládán hackery, kteří pracují pro Kreml. Malware, známý jako VPNFilter, byl objeven vědci pracujícími v CISCO Talos. VPNFilter umožňuje hackerům ukrást směrovače jejich přeměnou na škodlivou síť VPN používanou hackery k maskování jejich skutečné IP adresy během sekundárních útoků.

Podle zprávy zveřejněné včera byla užitečná hmotnost ve volné přírodě již od roku 2016. V té době se věří, že infikovalo kolem 500 000 strojů ve 54 zemích. Podle Talose znamená sofistikovanost modulárního malwarového systému pravděpodobně státní sponzorský útok.

Agenti FBI tvrdili, že aktérem hrozby pravděpodobně bude Sofacy - hackerská skupina ovládaná Kremlem, která byla známa pod mnoha jmény za posledních pět let (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM a Tsar Team). Z čestného prohlášení:

"Skupina Sofacy je kybernetická špionážní skupina, o které se předpokládá, že pochází z Ruska. Je pravděpodobné, že skupina působí od roku 2007 a je obvykle zaměřena na vládu, armádu, bezpečnostní organizace a další cíle zpravodajské hodnoty."

Fancy Bears 2

Stejně jako u ostatních vyuľití směrovačů, VPNFilter pouľívá vektorový útočný vektor. Jakmile je umístěn na routeru oběti, komunikuje se serverem Command and Control (CnC), aby si stáhl další užitečná zatížení.

Druhá fáze vykořisťování umožňuje hackerům zachytit provoz, ukrást data, provádět sběr souborů a provádět příkazy. Je také možné, že mohla být dodána další užitečná zatížení infikující síťová zařízení připojená k routeru. Ačkoli podle Talose:

„Typ zařízení, na které je tento hráč zaměřen, je obtížné bránit. Často se nacházejí na okraji sítě, nemají zavedený systém ochrany proti narušení (IPS) a obvykle nemají k dispozici systém ochrany hostitele, jako je antivirový balíček (AV). “

Fbi Vpnfilter

Převzetí FBI

Po měsíčním sledování situace byli výzkumní pracovníci zabývající se bezpečností, kteří pracují s FBI, schopni určit doménové jméno, které používají sofistikovaní hackeři. Podle čestného prohlášení podaného včera byli agenti o případu od srpna, kdy jim Pittsburghský dobrovolník dobrovolně poskytl přístup k infikovanému routeru..

Po zveřejnění zprávy o infekci FBI jednal rychle, aby získal rozkaz od pennsylvánského soudce, aby převzal kontrolu nad toKnowAll.com doména.

Nyní, když je doména CnC pod kontrolou FBI, jsou zákazníci po celém světě s ohroženými směrovači vyzváni, aby restartovali své zařízení, aby se stalo domovem telefonu. To dá federálům jasný obrázek o tom, kolik zařízení po celém světě byla ovlivněna.

FBI uvedla, že má v úmyslu vytvořit seznam všech infikovaných IP adres, aby kontaktovala poskytovatele internetových služeb, soukromé partnery a partnery veřejného sektoru, aby se po globální infekci vyčistila - dříve, než bude možné nastavit nový škodlivý server CnC pro obnovení botnetu.

Otazník Trust Fbi

Důvěřujete FBI?

Zatímco pro většinu lidí se zprávy mohou zdát jako dobrý příběh pro dobré lidi, jak obhajuje digitální soukromí, je těžké neslyšet zvonit poplachové zvonky. Tým na ProPrivacy.com se cítí trochu nesvůj ohledně akvizice tohoto výkonného botnetu ze strany FBI. Zatímco FBI mohla použít shromážděná data k informování infikovaných stran a k nápravě situace, co jim však brání v používání botnetu k nasazení vlastního nákladu?

Podle Vikram Thakur, technický ředitel společnosti Symantec,

„Soudní příkaz umožňuje FBI monitorovat pouze metadata, jako je IP adresa oběti, ne obsah“. Thakur počítá s tím, že „neexistuje nebezpečí, že malware pošle FBI historii prohlížeče oběti nebo jiná citlivá data".

Vzhledem k tomu, že čestné prohlášení zvláštního agenta požadovalo, aby celá věc byla „utěsněna“ po dobu 30 dnů, aby se napomohlo vyšetřování, nelze si pomyslet, zda nedávná rétorika FBI skutečně odpovídá jejímu programu.

Obnovení továrního nastavení nebo nový router?

Z tohoto důvodu, pokud si opravdu ceníte soukromí a možná byste raději raději poslali data hackerům v Kremlu než federálům - doporučujeme vám udělat něco víc než jen zapnout a vypnout router. Společnost Symantec doporučila:

"Provádění tvrdého resetu zařízení, které obnoví tovární nastavení, by ho mělo otřít a odstranit 1. fázi. U většiny zařízení to lze provést stisknutím a podržením malého resetovacího spínače při cyklickém napájení zařízení. Mějte však na paměti, že všechny podrobnosti o konfiguraci nebo přihlašovací údaje uložené na routeru by měly být zálohovány, protože tyto budou vymazány tvrdým resetem."

Jediným způsobem, jak si být absolutně jistý, že váš router nebyl kompromitován vládou USA, však může být jít ven a koupit si nový..

Zde je seznam všech známých ovlivněných směrovačů a zařízení QNAP připojených k síti (NAS):

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS pro Cloud Core Routers: Verze 1016, 1036 a 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Další zařízení QNAP NAS se softwarem QTS
  • TP-Link R600VPN

Názory jsou vlastní spisovatelem.

Kredit na obrázek titulu: Oficiální obrázek VPNFilter od Talos

Obrazové kredity: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me