Logo depois que a Cisco divulgou seu relatório inicial sobre uma campanha de hackers em grande escala que infectou mais de meio milhão de roteadores e dispositivos de armazenamento de rede em todo o mundo, o governo dos Estados Unidos anunciou a remoção de um domínio chave da internet usado para o ataque.
Ontem nós informamos sobre um malware altamente sofisticado de botnet IoT que infectou mais de 500.000 dispositivos em 54 países e provavelmente foi projetado por um grupo patrocinado pelo Estado na Rússia em um possível esforço para causar estragos na Ucrânia, de acordo com um relatório publicado pela Cisco. Talos unidade de inteligência cibernética na quarta-feira.
Apelidado VPNFilter pelos pesquisadores Talos, o malware é uma plataforma modular de vários estágios que tem como alvo roteadores e dispositivos de armazenamento de escritórios domésticos e domésticos da Linksys, MikroTik, NETGEAR e TP-Link, bem como armazenamento de acesso à rede (NAS) dispositivos.
Enquanto isso, os documentos do tribunal revelados em Pittsburgh no mesmo dia indicam que o FBI apreendeu um domínio da Web chave que se comunica com uma botnet global em massa de centenas de milhares de roteadores SOHO infectados e outros dispositivos NAS.
Os documentos do tribunal disseram que o grupo de hackers por trás da massiva campanha de malware é o Fancy Bear , um grupo de hackers aliado ao governo russo, também conhecido como APT28 , Sofacy, X-agent, Sednit, Sandworm e Pawn Storm .
O grupo hacker está em operação desde pelo menos 2007 e recebeu uma longa lista de ataques nos últimos anos, incluindo o hack do Comitê Nacional Democrata (DNC) em 2016 e a Campanha Clinton para influenciar a eleição presidencial dos EUA.
"Esta operação é o primeiro passo na interrupção de uma botnet que fornece aos atores da Sofacy uma série de recursos que podem ser usados para uma variedade de propósitos maliciosos, incluindo coleta de informações, roubo de informações valiosas, ataques destrutivos ou disruptivos, e a atribuição incorreta de tais atividades ", disse John Demers, o procurador-geral assistente de segurança nacional, em um comunicado .Entre outros, os pesquisadores do Talos também encontraram evidências de que o código-fonte do VPNFilter compartilha código com versões do BlackEnergy - o malware responsável por múltiplos ataques em larga escala direcionados a dispositivos na Ucrânia que o governo dos EUA atribuiu à Rússia.
O VPNFilter foi projetado de forma a poder ser usado para conduzir secretamente vigilância sobre seus alvos e reunir inteligência, interferir nas comunicações da Internet, monitorar sistemas de controle industrial ou SCADA, como aqueles usados em redes elétricas, outras infraestruturas e fábricas, bem como como conduzir operações de ataque cibernético destrutivo.
A apreensão do domínio que faz parte da infra-estrutura de comando e controle do VPNFilter permite que o FBI redirecione as tentativas pelo estágio um do malware (em uma tentativa de reinfectar o dispositivo) para um servidor controlado pelo FBI, que capturará o endereço IP. de dispositivos infectados e repassar para autoridades em todo o mundo que podem remover o malware.
Os usuários de dispositivos SOHO e NAS infectados com VPNFilter são aconselhados a reinicializar seus dispositivos o mais rápido possível, o que elimina o malware não persistente de segundo estágio, fazendo com que o malware persistente de primeiro estágio em seu dispositivo infectado peça instruções.
"Embora os dispositivos permaneçam vulneráveis à reinfecção com o malware de segundo estágio enquanto conectados à Internet, esses esforços maximizam as oportunidades de identificar e remediar a infecção em todo o mundo no tempo disponível antes dos atores Sofacy saberem da vulnerabilidade em sua infra-estrutura de comando e controle" "o DoJ disse.Como o VPNFilter não explora nenhuma vulnerabilidade de dia zero para infectar suas vítimas e procura dispositivos ainda expostos a vulnerabilidades conhecidas ou que possuem credenciais padrão, é altamente recomendado que os usuários alterem as credenciais padrão de seus dispositivos para evitar o malware.
Além disso, sempre coloque seus roteadores atrás de um firewall e desligue a administração remota até que você realmente precise.
Se o seu roteador estiver vulnerável por padrão e não puder ser atualizado, é hora de comprar um novo. Você precisa estar mais atento à segurança de seus dispositivos inteligentes de IoT.
FONTE:THEHACKERNEWS
Comentários
Postar um comentário