FBI griper kontrollen over russisk botnet – men er du sikker?

FBI har tatt kontroll over et massivt botnet som antas å ha blitt kontrollert av hackere som jobber for Kreml. Malware, kjent som VPNFilter, ble oppdaget av forskere som jobber på CISCO Talos. VPNFilter tillater hackere å kapre rutere som gjør dem om til et ondsinnet VPN-nettverk som brukes av hackere til å maskere sin sanne IP-adresse under sekundære angrep.

I følge en rapport som ble utgitt i går, har nyttelasten vært i naturen siden minst 2016. I den tiden antas det å ha smittet rundt 500 000 maskiner i 54 land. I følge Talos betyr raffinementet til det modulære malware-systemet trolig at det var et statlig sponset angrep.

FBI-agenter har hevdet at trusselaktøren sannsynligvis har vært Sofacy - et hacking-kollektiv kontrollert av Kreml som har vært kjent under et mangfold av navn de siste fem årene (APT28, Sednit, Fancy Bears, Pawn Storm, Grizzly Steppe, STRONTIUM, og Tsar Team). Fra erklæringen:

"Sofacy-gruppen er en cyber-spionasjegruppe som antas å ha sin opprinnelse fra Russland. Sannsynligvis opererer siden 2007, er gruppen kjent for å vanligvis målrette mot myndigheter, militære, sikkerhetsorganisasjoner og andre mål av etterretningsverdi."

Fancy Bears 2

Som med andre rutebaserte utnyttelser, bruker VPNFilter en flertrinns angrepsvektor. Når den er på plass på et ruters offer, kommuniserer den med en Command and Control (CnC) server for å laste ned ekstra nyttelaster.

Fase to av utnyttelsen tillater hackerne å avskjære trafikk, stjele data, utføre filsamling og utføre kommandoer. Det er også mulig at det har blitt levert ekstra nyttelaster som infiserer nettverksenheter tilknyttet ruteren. Skjønt ifølge Talos:

"Den typen enheter som denne skuespilleren målretter mot, er vanskelig å forsvare. De er ofte på omkretsen av nettverket, uten noe inntrengningsbeskyttelsessystem (IPS) på plass, og har vanligvis ikke et tilgjengelig vertsbasert beskyttelsessystem som en anti-virus (AV) -pakke. "

Fbi Vpnfilter

FBI overtar

Etter å ha overvåket situasjonen i flere måneder, kunne sikkerhetsforskere som arbeidet med FBI, identifisere domenenavnet som ble brukt av de sofistikerte hackerne. I følge erklæringen som ble fremmet i går, hadde agenter vært på saken siden august da de frivillig fikk tilgang til en infisert ruter av en bosatt i Pittsburgh.

Etter at nyheter om infeksjonen ble offentliggjort, handlet FBI raskt for å få en befaling fra en dommer i Pennsylvania for å gripe kontrollen over toKnowAll.com domene.

Nå som CnC-domenet er under FBI-kontroll, blir forbrukere over hele verden med risikofylte rutere bedt om å starte enheten på nytt for å få det til å ringe hjem. Dette vil gi feds et tydelig bilde av nøyaktig hvor mange enheter rundt om i verden som ble berørt.

FBI sa at den har til hensikt å lage en liste over alle infiserte IP-adresser for å kontakte ISP-er, private og offentlige partnere, for å rydde opp etter den globale infeksjonen - før en ny ondsinnet CnC-server kan settes opp for å reetablere botnet.

Spørsmål Mark Trust Fbi

Stoler du på FBI?

Selv om nyhetene for de fleste kan virke som en suksesshistorie for de gode guttene, som en talsmann for privatliv, er det vanskelig å ikke høre alarmklokkene ringe. Teamet på ProPrivacy.com føler seg litt urolig over FBIs anskaffelse av dette kraftige botnetet. Mens FBI kunne bruke dataene som ble samlet inn for å informere infiserte parter og fikse situasjonen, hva er det som skal hindre dem i å bruke botnettet til å distribuere egen nyttelast?

I følge Vikram Thakur, teknisk direktør i Symantec,

"Domstolen kjenner bare til at FBI overvåker metadata som offerets IP-adresse, ikke innhold". Thakur regner med at “det ikke er noen fare for at skadelig programvare sender FBI et offerets nettleserhistorie eller andre sensitive data".

Gitt at den spesielle agentens erklæring ba om at det hele skulle holdes under forsegling i 30 dager for å hjelpe etterforskningen, kan man ikke la være å lure på om FBIs nylige retorikk virkelig stemmer med dagsordenen.

Tilbakestilling av fabrikken eller en ny ruter?

Av denne grunn, hvis du virkelig verdsetter personvern, og kanskje du faktisk foretrekker ideen om å sende dataene dine til hackere i Kreml fremfor feds - vil vi anbefale å gjøre litt mer enn bare å slå ruteren av og på. Symantec har gitt råd:

"Hvis du utfører en hard tilbakestilling av enheten, som gjenoppretter fabrikkinnstillingene, bør den tørkes av og fjerne trinn 1. Med de fleste enheter kan dette gjøres ved å trykke på og holde en liten tilbakestillingsbryter når du sykler enheten. Husk imidlertid at alle konfigurasjonsdetaljer eller legitimasjonsbeskrivelser som er lagret på ruteren, bør sikkerhetskopieres, da disse blir utslettet av en hard tilbakestilling."

Imidlertid kan den eneste måten å være helt sikker på at ruteren din ikke har blitt kompromittert av den amerikanske regjeringen, være å gå ut og kjøpe en ny.

Her er en liste over alle kjente berørte rutere og QNAP-nettverkstilkoblede lagringsenheter (NAS):

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS for Cloud Core Routers: Versjoner 1016, 1036 og 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Andre QNAP NAS-enheter som kjører QTS-programvare
  • TP-Link R600VPN

Meninger er forfatterens egne.

Tittelbilde: Offisiell VPNFilter-bilde fra Talos

Bildekreditter: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me