США нейтрализовали российский ботнет из 500 000 взломанных роутеров
Министерство юстиции США заявило, что оно захватило интернет-домен, который управлял опасной ботнетом из полумиллиона зараженных маршрутизаторов домашней и офисной сети, контролируемых хакерами, которые, как полагают, связаны с российской разведкой.
Этот шаг был направлен на то, чтобы разорвать операцию, глубоко внедренную в малые и средние компьютерные сети, которая могла позволить хакерам получить контроль над компьютерами, а также легко украсть данные.
Министерство юстиции сообщило, что ботнет VPNFilter был создан хакерской группой под названием APT28, Pawn Storm, Sandworm, Fancy Bear и Sofacy Group.
Группу обвиняют в кибератаках на многочисленные правительства, ключевые инфраструктурные отрасли, такие как электросети, Организация по безопасности и сотрудничеству в Европе, Всемирное антидопинговое агентство и другие органы.
Американские спецслужбы также говорят, что они участвовали в операции по взлому и распространению разрушительной информации о Демократической партии во время президентских выборов в США 2016 года, и спровоцировали ряд сбоев компьютерных сетей в Украине.
«По словам исследователей в области кибербезопасности, Sofacy Group — группа кибершпионажа, предположительно родом из России», — говорится в заявлении Министерства юстиции в судебном порядке.
«Вероятно, эта группа, действующая с 2007 года, как правило, нацелена на различные правительственные, военные, охранные организации и другие объекты разведывательной деятельности», — говорится в сообщении.
В заявлении юстиции не говорится, кто стоял за группой Sofacy, но в прошлом разведка США связывала ее с российским агентством военной разведки ГРУ, и многочисленные частные группы компьютерной безопасности установили такую же связь.
В среду, министерство юстиции заявило, что получило ордер, разрешающий ФБР захватить компьютерный домен, который является частью системы управления и контроля ботнета VPNFilter.
Ботнет предназначен для домашних и офисных маршрутизаторов, через которые он может передавать заказы от контроллеров ботнета и перехватывать и перенаправлять трафик обратно к ним, практически не обнаруживаемый пользователями сети.
В отчете, опубликованном параллельно с объявлением юстиции, гигант сетевого оборудования Cisco заявил, что VPNFilter заразил не менее 500 000 устройств как минимум в 54 странах.
Он ориентирован на популярные бренды маршрутизаторов, такие как Linksys, MikroTik winbox, NETGEAR и TP-Link.
«Поведение этой вредоносной программы на сетевом оборудовании особенно важно, поскольку компоненты вредоносной программы VPNFilter допускают кражу учетных данных веб-сайта», — сказали в Cisco.
Он также обладает «разрушительной способностью, которая может сделать зараженное устройство непригодным для использования, которое может быть запущено на отдельных компьютерах-жертвах или массово».
Справедливость и Cisco сказали, что они обнародовали детали проблемы, прежде чем нашли сильное, постоянное решение. Судья сказал, что, захватив контроль над одним из доменов, участвующих в запуске VNPFilter, он даст владельцам зараженных маршрутизаторов возможность перезагрузить их, заставив их начать общение с теперь нейтрализованным командным доменом.
По словам Джастиса, уязвимость останется, но этот шаг позволит им больше времени для выявления и вмешательства в другие части сети.