Το FBI καταλαμβάνει τον έλεγχο του ρωσικού botnet – αλλά είστε ασφαλείς;

Το FBI έχει καταλάβει τον έλεγχο ενός μαζικού botnet που πιστεύεται ότι έχει ελεγχθεί από χάκερ που εργάζονται για το Κρεμλίνο. Το Malware, γνωστό ως VPNFilter, ανακαλύφθηκε από ερευνητές που εργάζονται στο CISCO Talos. Το VPNFilter επιτρέπει στους hackers να καταλάβουν τους δρομολογητές τους μετατρέποντάς τους σε ένα κακόβουλο δίκτυο VPN το οποίο χρησιμοποιούν οι χάκερ για να καλύψουν την πραγματική διεύθυνση IP τους κατά τη διάρκεια δευτερευουσών επιθέσεων.


Σύμφωνα με μια έκθεση που κυκλοφόρησε χθες, το ωφέλιμο φορτίο ήταν στο φυσικό περιβάλλον από το 2016 τουλάχιστον. Εκείνη την εποχή πιστεύεται ότι μολύνθηκαν περίπου 500.000 μηχανές σε 54 χώρες. Σύμφωνα με τον Talos, η εκλέπτυνση του σπονδυλωτού συστήματος κακόβουλου λογισμικού σημαίνει πιθανώς ότι ήταν μια κρατική χορηγία.

Οι πράκτορες του FBI ισχυρίστηκαν ότι ο απειλητικός ηθοποιός πιθανότατα θα ήταν το Sofacy - ένα hacking συλλογικό που ελέγχεται από το Κρεμλίνο, το οποίο ήταν γνωστό με πολλά ονόματα τα τελευταία πέντε χρόνια (APT28, Sednit, Fancy Bears, Storm Storm, Grizzly Steppe, STRONTIUM και ομάδα Tsar). Από την ένορκη δήλωση:

"Ο όμιλος Sofacy είναι μια ομάδα ηλεκτρονικής κατασκοπείας που θεωρείται ότι προέρχεται από τη Ρωσία. Πιθανό να λειτουργήσει από το 2007, η ομάδα είναι γνωστό ότι συνήθως στοχεύει κυβερνητικές, στρατιωτικές, οργανώσεις ασφάλειας και άλλους στόχους της αξίας των πληροφοριών."

Fancy Bears 2

Όπως συμβαίνει και με άλλες εκμεταλλεύσεις που βασίζονται στο δρομολογητή, το VPNFilter χρησιμοποιεί ένα διάνυσμα επίθεσης πολλαπλών σταδίων. Αφού εγκατασταθεί στον δρομολογητή ενός θύματος, επικοινωνεί με ένα διακομιστή εντολών και ελέγχου (CnC) για να κατεβάσει επιπλέον φορτία.

Το δεύτερο στάδιο της εκμετάλλευσης επιτρέπει στους χάκερς να παρεμποδίζουν την κυκλοφορία, να κλέβουν δεδομένα, να εκτελούν συλλογή αρχείων και να εκτελούν εντολές. Είναι επίσης πιθανό να έχουν παραδοθεί πρόσθετα ωφέλιμα φορτία που μολύνουν συσκευές δικτύου συνδεδεμένες στο δρομολογητή. Αν και σύμφωνα με τον Τάλως:

"Ο τύπος των συσκευών που στοχεύει ο συγκεκριμένος ηθοποιός είναι δύσκολο να υπερασπιστεί. Συχνά βρίσκονται στην περίμετρο του δικτύου, χωρίς να υπάρχει σύστημα προστασίας από διείσδυση (IPS) και συνήθως δεν διαθέτουν διαθέσιμο σύστημα προστασίας βασισμένο στον κεντρικό υπολογιστή, όπως ένα πακέτο προστασίας από ιούς (AV). "

Fbi Vpnfilter

Το FBI αναλαμβάνει

Αφού παρακολούθησαν την κατάσταση εδώ και μήνες, ερευνητές της ασφάλειας που συνεργάζονται με το FBI κατάφεραν να εντοπίσουν το όνομα τομέα που χρησιμοποιούν οι περίπλοκοι χάκερ. Σύμφωνα με την ένορκη κατάθεση που κατατέθηκε χθες, οι πράκτορες βρίσκονταν στην υπόθεση από τον Αύγουστο, όταν τους δόθηκε οικειοθελώς πρόσβαση σε μολυσμένο δρομολογητή από κάτοικο του Pittsburgh.

Μετά την δημοσιοποίηση των ειδήσεων σχετικά με τη λοίμωξη, το FBI ενήργησε γρήγορα για να αποκτήσει ένα ένταλμα από δικαστή της Πενσυλβανίας για να καταλάβει τον έλεγχο του toKnowAll.com τομέα.

Τώρα που ο τομέας CnC βρίσκεται υπό τον έλεγχο του FBI, οι καταναλωτές σε όλο τον κόσμο με δρομολογητές σε κίνδυνο καλούνται να επανεκκινήσουν τη συσκευή τους προκειμένου να το κάνουν τηλέφωνο στο σπίτι. Αυτό θα δώσει στους Φινλανδούς μια σαφή εικόνα για το πόσο ακριβώς επηρεάζονται οι συσκευές σε όλο τον κόσμο.

Το FBI δήλωσε ότι σκοπεύει να καταγράψει όλες τις μολυσμένες διευθύνσεις IP προκειμένου να επικοινωνήσει με τους παρόχους ISP, ιδιωτικούς και δημόσιους φορείς, για να καθαρίσει μετά την παγκόσμια μόλυνση - προτού να μπορέσει να δημιουργηθεί ένας νέος κακόβουλος διακομιστής CnC για να αποκαταστήσει το botnet.

Ερώτημα εμπιστοσύνης Fbi

Εμπιστεύεστε το FBI?

Ενώ για τους περισσότερους ανθρώπους οι ειδήσεις μπορεί να φαίνονται σαν μια ιστορία επιτυχίας για τους καλοί τύπους, ως δικηγόρος ψηφιακής προστασίας της ιδιωτικής ζωής, είναι δύσκολο να μην ακούγονται κουδούνια συναγερμού. Η ομάδα στο ProPrivacy.com αισθάνεται λίγο ανήσυχη για την απόκτηση αυτού του ισχυρού botnet από το FBI. Ενώ το FBI θα μπορούσε να χρησιμοποιήσει τα δεδομένα που συλλέχθηκαν για να ενημερώσει τα μολυσμένα μέρη και να διορθώσει την κατάσταση, τι πρέπει να τους εμποδίσει να χρησιμοποιήσουν το botnet για να αναπτύξουν το δικό του φορτίο?

Σύμφωνα με τον Vikram Thakur, τεχνικό διευθυντή της Symantec,

"Η δικαστική εντολή επιτρέπει μόνο τα μεταδεδομένα παρακολούθησης του FBI όπως η διεύθυνση IP του θύματος, όχι περιεχόμενη". Ο Thakur θεωρεί ότι "δεν υπάρχει κίνδυνος να στείλει το FBI στο ιστορικό του προγράμματος περιήγησης ενός θύματος ή σε άλλα ευαίσθητα δεδομένα".

Δεδομένου ότι η ένορκη βεβαίωση του ειδικού πράκτορα είχε ζητήσει να παραμείνει «όλη η υπόθεση» για 30 ημέρες για να βοηθηθεί η έρευνα, δεν μπορεί παρά να αναρωτηθεί κανείς εάν η πρόσφατη ρητορική του FBI ανταποκρίνεται στην ατζέντα της.

Επαναφορά εργοστασίου ή νέο δρομολογητή?

Για το λόγο αυτό, εάν εκτιμάτε πραγματικά την ιδιωτικότητα και ίσως προτιμάτε την ιδέα της αποστολής των δεδομένων σας σε χάκερ στο Κρεμλίνο και όχι στους συντρόφους, θα συνιστούσαμε να κάνετε κάτι παραπάνω από απλώς να ενεργοποιήσετε και να απενεργοποιήσετε το δρομολογητή σας. Η Symantec έχει συμβουλεύσει:

"Πραγματοποιώντας μια σκληρή επαναφορά της συσκευής, η οποία αποκαθιστά τις εργοστασιακές ρυθμίσεις, θα πρέπει να σκουπίσει καθαρό και να αφαιρέσει το Στάδιο 1. Με τις περισσότερες συσκευές, αυτό μπορεί να γίνει πατώντας και κρατώντας πατημένο ένα μικρό διακόπτη επαναφοράς όταν ενεργοποιείτε τη λειτουργία της συσκευής. Ωστόσο, λάβετε υπόψη ότι οποιαδήποτε στοιχεία διαμόρφωσης ή διαπιστευτήρια που είναι αποθηκευμένα στο δρομολογητή θα πρέπει να δημιουργούνται αντίγραφα ασφαλείας καθώς αυτά θα σκουπιστούν από μια σκληρή επαναφορά."

Ωστόσο, ο μόνος τρόπος για να είστε απόλυτα βέβαιοι ότι ο δρομολογητής σας δεν έχει παραβιαστεί από την αμερικανική κυβέρνηση μπορεί να είναι να βγείτε έξω και να αγοράσετε ένα νέο.

Ακολουθεί μια λίστα με όλους τους γνωστούς δρομολογητές που έχουν επηρεαστεί και συσκευές αποθήκευσης συνδεδεμένες στο δίκτυο (NAS) QNAP:

  • Linksys E1200
  • Linksys E2500
  • Linksys WRVS4400N
  • Mikrotik RouterOS για δρομολογητές πυρήνα σύννεφων: Εκδόσεις 1016, 1036 και 1072
  • Netgear DGN2200
  • Netgear R6400
  • Netgear R7000
  • Netgear R8000
  • Netgear WNR1000
  • Netgear WNR2000
  • QNAP TS251
  • QNAP TS439 Pro
  • Άλλες συσκευές QNAP NAS που εκτελούν λογισμικό QTS
  • TP-Link R600VPN

Οι απόψεις είναι οι δικές του συγγραφείς.

Πιστοποίηση εικόνας τίτλου: Επίσημη εικόνα VPNFilter από το Talos

Πιστωτικές κάρτες εικόνας: Dzelat / Shutterstock.com, WEB-DESIGN / Shutterstock.com

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me