ФБР захватывает домен, стоящий за основным российским ботнетом

25.05.2018 7:20 45

ФБР захватывает домен, стоящий за основным российским ботнетом

ФБР захватило домен, связанный с тем, что считается российским ботнетом, состоящим из 500 000 зараженных маршрутизаторов по всему миру. По данным Министерства юстиции, ботнет, то есть сеть компьютеров, зараженных вредоносными программами, находится под контролем российской хакерской группы «fancy bear» или «Софья». Сообщается, что группа использует вредоносное ПО под названием «VPN Filter» для использования уязвимостей в домашних маршрутизаторах, выпускаемых Linksys, MikroTik, NETGEAR и TP-Link и QNAP.

The Daily Beast сообщает, что вредоносные программы возвращаются в инфраструктуру - либо набор фотографий, которые группа взлома загружает на Photobucket, либо URL ToKnowAll [.] Com - как только они заразили маршрутизатор. Затем эта инфраструктура устанавливает плагины, которые могут украсть учетные данные входа или использовать компьютеры для атаки промышленных сетей управления, таких как сетевые сети. Photobucket уже удалила эти фотографии, а власти захватили ToKnowAll [.] Com, чтобы вредоносная программа не могла сделать что-либо вредное.

Основываясь на данных, собранных ФБР, вредоносное ПО должно повторно подключаться к инфраструктуре при каждой перезагрузке маршрутизатора, поэтому получение контроля над доменом ToKnowAll [.] Com означает возможность разбить бот-сеть в большой степени. Теперь ФБР сможет видеть IP-адреса людей, чьи машины были заражены вредоносным ПО. Технический директор Symantec Викрам Тхакур объяснил The Daily Beast: «Одна из вещей, которые они могут сделать, - это следить за тем, кто в данный момент заражен, и кто сейчас является жертвой, и передать эту информацию местным интернет-провайдерам. Некоторые из интернет-провайдеров имеют возможность удаленно перезапустите маршрутизатор. Другие могут даже отправлять письма домашним пользователям, призывающим перезагрузить их устройства».

Поскольку известно, что вредоносное ПО присутствует в 54 странах, производители маршрутизаторов теперь поощряют пользователей к перезагрузке своих устройств и установке последней прошивки для исправления уязвимости.