FBI nắm được quyền điều khiển của mạng botnet khổng lồ

Ngay sau khi Cisco phát hành báo cáo đầu tiên về một chiến dịch tấn công mạng trên quy mô lớn đã lây nhiễm hơn nửa triệu bộ định tuyến và thiết bị lưu trữ mạng trên toàn thế giới, chính phủ Hoa Kỳ đã tuyên bố gỡ bỏ một mạng botnet khổng lồ với tên miền internet chính được sử dụng để tấn công.

Hôm qua, chúng tôi đã báo cáo về một phần mềm độc hại IoT botnet tinh vi đã lây nhiễm hơn 500.000 thiết bị ở 54 quốc gia và có thể được thực hiện bởi nhóm hacker do Nga tài trợ, với mục đích có thể gây ra sự bất ổn ở Ukraine.

Được gọi là VPNFilter bởi các nhà nghiên cứu Talos, phần mềm độc hại là nền tảng mô-đun đa tầng nhắm vào các thiết bị lưu trữ gia đình và văn phòng nhỏ (SOHO, cả những thiết bị lưu trữ từ Linksys, MikroTik, NETGEAR và TP-Link, cũng như bộ nhớ truy cập mạng (NAS).

Mạng botnet khổng lồ VPNFilter

Trong khi đó, các tài liệu tòa án chưa niêm yết tại Pittsburgh cùng ngày chỉ ra rằng FBI đã chiếm giữ một miền web quan trọng liên lạc với một mạng botnet toàn cầu khổng lồ của hàng trăm nghìn thiết bị định tuyến SOHO bị nhiễm và các thiết bị NAS khác.

Các tài liệu của tòa án cho biết nhóm hack đằng sau chiến dịch phần mềm độc hại trên quy mô lớn này là Fancy Bear, một nhóm hack do chính phủ Nga tài trợ cũng được gọi là APT28, Sofacy, X-agent, Sednit, Sandworm và Pawn Storm.

Nhóm hack đã hoạt động từ ít nhất năm 2007 và đã được ghi nhận với một danh sách dài các cuộc tấn công trong những năm qua, kể cả vụ hack năm 2016 của Ủy ban Quốc gia Dân chủ (DNC) và Chiến dịch Clinton ảnh hưởng đến cuộc bầu cử tổng thống Mỹ.

John Demers, Trợ lý Tổng chưởng lý về an ninh quốc gia, cho biết trong một tuyên bố: “Hoạt động này là bước đầu tiên trong sự gián đoạn của một botnet cung cấp các Sofacy với một loạt các khả năng có thể được sử dụng cho nhiều mục đích độc hại, bao gồm thu thập thông tin, trộm cắp thông tin giá trị, các cuộc tấn công phá hoại hoặc phá hoại và phân phối sai các hoạt động như vậy”.

Trong số các nhà nghiên cứu khác, Talos cũng tìm thấy bằng chứng cho thấy mã nguồn VPNFilter chia sẻ mã với phiên bản BlackEnergy — phần mềm độc hại chịu trách nhiệm cho nhiều cuộc tấn công quy mô lớn nhắm vào các thiết bị ở Ukraine mà chính phủ Hoa Kỳ đã quy cho Nga.

VPNFilter đã được thiết kế theo cách có thể được sử dụng để bí mật tiến hành giám sát các mục tiêu và thu thập thông tin, can thiệp vào thông tin liên lạc internet, giám sát hệ thống điều khiển công nghiệp hoặc SCADA, chẳng hạn như hệ thống lưới điện, cơ sở hạ tầng và nhà máy khác. như tiến hành các hoạt động tấn công mạng phá hoại.

Việc chiếm giữ miền là một phần của cơ sở hạ tầng điều khiển và lệnh của VPNFilter cho phép FBI chuyển hướng các nỗ lực theo giai đoạn một của phần mềm độc hại (nhằm cố gắng khử trùng thiết bị) đến một máy chủ do FBI kiểm soát mà sẽ tìm ra địa chỉ IP của các thiết bị bị nhiễm và gửi cho các nhà chức trách trên toàn cầu – những người có thể xóa phần mềm độc hại.

Người dùng thiết bị SOHO và NAS bị nhiễm VPNFilter nên khởi động lại thiết bị của mình càng sớm càng tốt.

DoJ nói rằng: “Mặc dù các thiết bị sẽ vẫn dễ bị tái nhiễm với phần mềm độc hại thứ hai trong khi kết nối với Internet, những nỗ lực này tối đa hóa cơ hội để xác định và khắc phục sự lây nhiễm trên toàn thế giới trong thời gian trước khi các Sofacy tìm hiểu về lỗ hổng trong cơ sở hạ tầng chỉ huy và kiểm soát của họ”.

Vì VPNFilter không khai thác bất kỳ lỗ hổng zero-day nào để lây nhiễm cho nạn nhân của nó và thay vào đó tìm kiếm các thiết bị vẫn tiếp xúc với các lỗ hổng đã biết hoặc có thông tin đăng nhập mặc định, người dùng nên thay đổi thông tin đăng nhập mặc định cho thiết bị của họ để ngăn chặn phần mềm độc hại.

Hơn nữa, cài đặt tường lửa cho các bộ định tuyến của bạn và tắt quản trị từ xa cho đến khi và trừ khi bạn thực sự cần nó.

Nếu bộ định tuyến của bạn bị tổn thương mặc định và không thể cập nhật, đây là lúc bạn mua một bộ định tuyến mới. Bạn cần thận trọng hơn về bảo mật của các thiết bị IoT thông minh của mình.