FBI griber styr på russisk botnet – men er du sikker?

FBI har taget kontrol over et massivt botnet, der antages at have været kontrolleret af hackere, der arbejder for Kreml. Malware, kendt som VPNFilter, blev opdaget af forskere, der arbejder på CISCO Talos. VPNFilter tillader hackere at kapre routere, der omdanner dem til et ondsindet VPN-netværk, der bruges af hackere til at maskere deres rigtige IP-adresse under sekundære angreb.


Ifølge en rapport, der blev frigivet i går, har nyttelasten været i naturen siden mindst 2016. På det tidspunkt antages det at have inficeret omkring 500.000 maskiner i 54 lande. Ifølge Talos betyder raffinementet i det modulære malware-system sandsynligvis, at det var et stats sponsoreret angreb.

FBI-agenter har hævdet, at trusselaktøren sandsynligvis har været Sofacy - et hacking-kollektiv kontrolleret af Kreml, der har været kendt under et væld af navne i de sidste fem år (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM og Tsar Team). Fra erklæringen:

"Sofacy-gruppen er en cyber-spionagruppe, som menes at stamme fra Rusland. Sandsynligvis opererer siden 2007, er gruppen kendt for at typisk målrette mod regering, militær, sikkerhedsorganisationer og andre mål af efterretningsværdi."

Fancy Bears 2

Som med andre routerbaserede udnyttelser anvender VPNFilter en flertrins angrebsvektor. Når den er på plads på et offers router, kommunikerer den med en Command and Control (CnC) server for at downloade yderligere nyttelast.

Fase to af udnyttelsen tillader hackere at aflytte trafik, stjæle data, udføre filindsamling og udføre kommandoer. Det er også muligt, at der kan være leveret yderligere nyttelast, der inficerer netværksenheder, der er knyttet til routeren. Men ifølge Talos:

”Den type enheder, der er målrettet mod denne skuespiller, er svære at forsvare. De er ofte på netværkets omkreds uden IPS (IPS), og de har typisk ikke et tilgængeligt værtsbaseret beskyttelsessystem såsom en anti-virus (AV) -pakke. ”

Fbi Vpnfilter

FBI overtager

Efter at have overvåget situationen i flere måneder, var sikkerhedsforskere, der arbejdede med FBI, i stand til at fastlægge det domænenavn, der blev brugt af de sofistikerede hackere. Ifølge den i går fremsendte erklæring havde agenter været i sagen siden august, da de frivilligt fik adgang til en inficeret router af en beboer i Pittsburgh.

Efter at nyhederne om infektionen blev offentliggjort, handlede FBI hurtigt for at få en arrestordre fra en Pennsylvania-dommer for at gribe kontrollen over toKnowAll.com domæne.

Nu, hvor CnC-domænet er under FBI-kontrol, bliver forbrugere over hele verden med risikofyldte routere bedt om at genstarte deres enhed for at få det til at ringe hjem. Dette vil give feds et klart billede af nøjagtigt hvor mange enheder rundt om i verden, der blev påvirket.

FBI sagde, at den har til hensigt at lave en liste over alle inficerede IP-adresser for at kontakte internetudbydere, private og offentlige sektorer for at rydde op efter den globale infektion - før en ny ondsindet CnC-server kan oprettes for at genoprette botnet.

Spørgsmål Mark Trust Fbi

Stoler du på FBI?

Mens nyhederne for de fleste mennesker kan virke som en succeshistorie for de gode fyre, som en talsmand for privatlivets fred, er det svært at ikke høre alarmklokker ringe. Holdet hos ProPrivacy.com føler sig lidt urolig over FBIs erhvervelse af dette magtfulde botnet. Mens FBI kunne bruge de indsamlede data til at informere inficerede parter og løse situationen, hvad er der for at forhindre dem i at bruge botnet til at installere sine egne nyttelaster?

Ifølge Vikram Thakur, teknisk direktør hos Symantec,

”Retsafgørelsen lader kun FBI overvåge metadata som offerets IP-adresse, ikke indhold”. Thakur regner med, at ”der ikke er nogen fare for, at malware sender FBI et offers browserhistorie eller andre følsomme data".

I betragtning af at den særlige agents erklæring anmodede om, at det hele skulle holdes ”under forsegling” i 30 dage for at hjælpe med efterforskningen, kan man ikke undgå at undre sig over, om FBIs nylige retorik virkelig stemmer overens med sin dagsorden.

Fabriksindstilling eller en ny router?

Af denne grund, hvis du virkelig værdsætter privatliv, og måske foretrækker du faktisk ideen om at sende dine data til hackere i Kreml snarere end feds - vil vi anbefale at gøre lidt mere end bare at tænde og slukke din router. Symantec har rådgivet:

"Udførelse af en hård nulstilling af enheden, som gendanner fabriksindstillingerne, bør tørres af og fjerne trin 1. Med de fleste enheder kan dette gøres ved at trykke på og holde en lille nulstillingsafbryder nede, når du tænder for enheden. Husk dog, at alle konfigurationsdetaljer eller legitimationsoplysninger, der er gemt på routeren, skal sikkerhedskopieres, da disse vil blive udslettet af en hård nulstilling."

Den eneste måde at være helt sikker på, at din router ikke er kompromitteret af den amerikanske regering, kan være at gå ud og købe en ny.

Her er en liste over alle kendte berørte routere og QNAP-netværksbundet lager (NAS) enheder:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS til Cloud Core Routers: Versioner 1016, 1036 og 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Andre QNAP NAS-enheder, der kører QTS-software
  • TP-Link R600VPN

Meningerne er forfatterens egne.

Titelbillede: Officielt VPNFilter-billede fra Talos

Billedkreditter: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me