USD28.2033

The Daily Beast: ФБР установило контроль над российской бот-сетью

The Daily Beast: ФБР установило контроль над российской бот-сетью

Агенты ФБР, вооруженные постановлением суда, установили контроль над главным сервером в глобальной бот-сети Кремля, состоящей из 500 тыс. взломанных маршрутизаторов, как стало известно The Daily Beast. Этот шаг позволяет бюро составить исчерпывающий список жертв нападения, а также ослабляет способность Москвы повторно атаковать свои цели.

Целью контр-операции ФБР стал “фильтр VPN”, фрагмент сложной вирусной программы, связанной с российской группой хакеров, известной как Fancy Bear. Именно эта группа взломала сервер Национального комитета Демократический партии и подорвала предвыборную кампанию Хиллари Клинтон в 2016 году. В среду исследователи проблем безопасности в компаниях Cisco и Symantec отдельно друг от друга представили новые данные о вирусе, который появился в 54 странах, включая США.

Фильтр VPN использует известные слабые места, чтобы заразить маршрутизаторы, разработанные компаниями Linksys, MikroTik, NETGEAR и TP-Link. Как сообщают эксперты, будучи установленной, вредоносная программа передает сигналы командной инфраструктуре, которая может установить на компьютере специальные программные модули. Один из них позволяет хакерам отслеживать интернет-трафик жертвы для того, чтобы получить учетные данные веб-сайта; второй направлен против протокола, используемого в промышленных сетях управления, например, регулирующих поставки электричества. Третий позволяет хакеру парализовать любое зараженное устройство.

ФБР вело расследование по этой бот-сети как минимум с августа. Согласно судебным материалам, именно тогда представители офиса в Питтсбурге допросили местную жительницу, чей домашний маршрутизатор был поражен российским вирусом. “Она добровольно предоставила агентам доступ к своему маршрутизатору, – написал агент ФБР Майкл МакКаун, в поданном в федеральный суд отчете. – Кроме того, жертва позволила ФБР подключить перехватчик трафика к своей домашней сети, что позволило агентам наблюдать за сетевым трафиком, выходящим из домашнего маршрутизатора”.

Читайте также:

Армения в сепаратистском капкане

Это позволило бюро выявить главное слабое место вируса. Если жертва перезагружает маршрутизатор, вирусные модули исчезают – остается только основной код вредоносной программы. Этот код запрограммирован на подключение через Интернет к инфраструктуре командования и управления, созданной хакерами. Сначала он ищет определенные изображения, размещенные на Photobucket.com, которые содержат скрытую информацию в метаданных. Если он не находит эти изображения – в случае, если они в действительности удалены из Photobucket – он превращается в контрольную точку аварийного резервного копирования на жестко закодированном веб-адресе ToKnowAll [.] Com.

Читайте также:

Решение суда в Гааге позволит забирать активы РФ в мире – эксперт

Во вторник агенты ФБР в Питтсбурге обратились к судье Федерального суда в Питтсбурге Лизе Пупо Ленихану за постановлением, предписывающим занимающейся регистрацией доменов фирме Verisign передать адреса ToKnowAll [.] Com под контроль ФБР. Это было нужно для того, чтобы “продолжить расследование, помешать совершению преступных действий, связанной с созданием и использованием бот-сетей, и оказать помощь в усилиях по восстановлению безопасности”, говорится в судебных документах. Судья выдала документ, и в среду бюро взяло домен под свой контроль.

Как поясняет Викрам Тхакур, технический директор компании Symantec, эти меры эффективно разрушают способность вируса активироваться повторно. “Теперь вирус неустойчив и не сохраняется после перезагрузки маршрутизатора, – добавил Тхакур. – Он исчезает”.

Другими словами, среднестатистические потребители могут остановить последнюю российскую кибератаку. Теперь после перезагрузки их маршрутизаторы обратятся к ФБР, а не к российской разведке. Согласно заявлению суда, ФБР собирает IP-адреса каждого взломанного маршрутизатора, обслуживающего домашний адрес, таким образом, агенты могут использовать эту информацию для глобальной очистки от вируса.

“Одна из вещей, которые они могут сделать – это отследить, кто в настоящее время заражен и кто сейчас является жертвой, и передать эту информацию местным интернет-провайдерам, – сказал Тхакур. – Некоторые интернет-провайдеры имеют возможность удаленно перезапускать маршрутизаторы. Другие даже отправляют письма домашним пользователям, призывающим их перезапустить свои устройства”.

Оригинал на The Daily Beast

Перевод – Андрей САБАДЫР

 

Очень плохоПлохоСреднеХорошоОтлично (голосов: 1, в среднем: 5,00 из 5)
Загрузка...

Комментарии (0)

Чтобы оставить комментарий необходимо

"Все политики делятся на два класса: те кто прикрываясь добром творят зло, и тех кто творит зло не прикрываясь ничем."

Живе спілкування з людьми, – експерт пояснив зростання рейтингу Ляшка

На грани жизни и смерти: в ЕС требуют немедленно освободить Сенцова

Про Таню Чорновол, Тараса Чубая та блогерську майстерність

Погода на 21 августа: стихия продолжит топить города

У Вінниці подорожчав проїзд у громадському транспорті

Новая неделя пике для турецкой экономики

У Вінниці мають встановити 36 велопарковок

Курс валют на 21 августа: доллар ослабил хватку

У Вінниці з’явився підземний майданчик для збору сміття

Окремі європейські лідери попри все продовжують політику лояльності до Росії – політолог

Мы их теряем: эксперты рассказали, как Украина сдает свои моря

Встреча Меркель и Путина: Россия внезапно изменила тон переговоров

Рубана оставили под стражей до 8 сентября

Atlantic Council: Как на самом деле работает коррупция в Украине

Стрельба в Харькове: копы раскрыли детали о нападавшем

У Гриценко нашли дом в Конча-Заспе и четыре квартиры в центре Киева

Меркель рассказала Порошенко о результатах переговоров с Путиным

Масштабная мобилизация и паника: путинские боевики готовятся к “наступлению” ВСУ

Шарий рассказала, на чьих руках кровь Стуса

112 Украина перешел под контроль Медведчука – Схемы