联邦调查局(FBI)抓住了一个据信被克里姆林宫(Kremlin)的黑客控制的大规模僵尸网络的控制。该恶意软件被称为VPNFILTER,是由Cisco Talos工作的研究人员发现的。 VPNFILTER允许黑客劫持路由器,将其转变为黑客使用的恶意VPN网络,以掩盖其在次要攻击期间的真实IP地址。
根据昨天发布的一份报告,有效载荷至少从2016年起就一直在野外。在那个时候,据信它已感染了54个国家 /地区的大约500,000台机器。根据塔洛斯的说法,模块化恶意软件系统的复杂性可能意味着它是国家赞助的攻击。
联邦调查局特工有声称威胁性演员很可能是sofacy-由克里姆林宫控制的黑客集体,在过去的五年中以众多名称而闻名(APT28,Sednit,Fancy Bears,Pawn Storm,Pawn Storm,Grizzly Steppe,Strontium,Strontium和TSAR团队)。来自宣誓书:
“ Sofacy集团是一个据信源自俄罗斯的网络 - 增长组织。可能自2007年以来运作,该集团通常以政府,军事,安全组织和其他情报价值目标为目标。”
与其他基于路由器的利用相同,VPNFilter使用多阶段攻击向量。在受害者的路由器上安装后,它会与命令和控件(CNC)服务器进行通信,以便下载其他有效负载。
漏洞的第二阶段允许黑客拦截流量,窃取数据,执行文件收集和执行命令。也可能已经交付了其他有效负载,以感染连接到路由器的网络设备。虽然据塔洛斯(Talos)说:
“这该演员针对的设备的类型很难捍卫。它们经常在网络的周边,没有入侵保护系统(IPS),通常没有可用的基于主机的保护系统,例如防病毒(AV)软件包。”
联邦调查局接管
在监视了几个月的情况之后,与联邦调查局合作的安全研究人员能够查明精致黑客使用的域名。根据昨天提交的宣誓书的说法,特工自八月以来,当时他们被匹兹堡居民自愿访问感染路由器。
感染消息公开后,联邦调查局采取了迅速采取行动,以获得宾夕法尼亚州法官的逮捕令,以夺取对该法官的控制权toknowall.com领域。
现在,CNC域已受联邦调查局的控制,全球各地的消费者都被要求重新启动其设备以使其成为电话回家。这将使美联储确切地了解世界上有多少个设备受到影响。
联邦调查局表示,它打算列出所有受感染的IP地址,以联系ISP,私营部门和公共部门合作伙伴,以在全球感染后清理 - 在可以设置新的恶意CNC服务器以重新建立BotNet之前。
您相信联邦调查局吗?
尽管对于大多数人来说,这一消息似乎对好人来说是一个成功的故事,但作为数字隐私倡导者,很难不听到警报铃响的声音。 Privacy.com的团队对联邦调查局(FBI)收购此功能强大的僵尸网络有些不安。尽管联邦调查局可以使用收集的数据为受感染方提供通知并解决情况,但是什么是什么阻止他们使用僵尸网络来部署其自己的有效载荷?
根据Symantec技术总监Vikram Thakur的说法
“法院命令只能让联邦调查局像受害者的IP地址那样监视元数据,而不是满足。”塔库尔(Thakur)认为:“恶意软件没有危险将FBI发送受害者的浏览器历史或其他敏感数据”。
鉴于特工的誓章要求将整个事情“密封” 30天“保持密封”,以帮助调查,人们不禁要问联邦调查局最近的言论是否真的与其议程相符。
工厂重置还是新路由器?
因此,如果您真正重视隐私,并且也许您实际上更喜欢将数据发送给克里姆林宫的黑客而不是美联储的想法 - 我们建议您不仅要打开和关闭路由器。 Symantec拥有建议:
“执行恢复工厂设置的设备的硬重置,应将其清洁并删除1阶段。在大多数设备中,当电源循环设备循环时,可以通过按下并握住小重置开关来完成。但是,请记住,请记住,任何配置详细信息或凭证都应在路由器上存储在路由器上。
但是,绝对确定您的路由器尚未受到美国政府妥协的唯一方法可能是外出购买新的路由器。
这是所有已知影响路由器和QNAP网络附件存储(NAS)设备的列表:
- Linksys E1200
- Linksys E2500
- Linksys WRVS4400N
- Mikrotik Routeros for Cloud Core路由器:版本1016、1036和1072
- Netgear DGN2200
- Netgear R6400
- Netgear R7000
- Netgear R8000
- Netgear WNR1000
- Netgear WNR2000
- QNAP TS251
- QNAP TS439 Pro
- 其他运行QTS软件的QNAP NAS设备
- TP-Link R600VPN
意见是作者自己的。
标题图片来源:来自Talos的官方VPNFILTER图像
图片来源:dzelat/shutterstock.com,web-design/shutterstock.com