Jump to content
Forum Kopalni Wiedzy
Sign in to follow this  
KopalniaWiedzy.pl

FBI ostrzega użytkowników ruterów

Recommended Posts

FBI radzi użytkownikom niewielkich ruterów przeznaczonych dla domu i małej firmy, by jak najszybciej zrestartowali swoje urządzenie. To sposób obrony przed cyberatakiem ze strony rosyjskiego szkodliwego kodu, który już zaraził setki tysięcy takich urządzeń.

Szkodliwy kod o nazwie VPNFilter bierze na celownik niewielkie urządzenia, z których po zarażeniu kradnie informacje. Ma też możliwości blokowania ruchu w sieci. Wiadomo, że kod atakuje rutery wielu producentów oraz urządzenia NAS co najmniej jednego producenta. Obecnie nie wiadomo, w jaki sposób dochodzi do infekcji.

Wiadomo za to, że VPNFilter może kraść informacje i blokować zarażone urządzenia. Analiza aktywności sieciowej szkodliwego kodu jest skomplikowana, gdyż jego twórcy wykorzystali szyfrowanie.

FBI radzi, by użytkownicy niewielkich ruterów zrestartowali urządzenia, co czasowo zakłóci pracę szkodliwego kodu i potencjalnie ułatwi zidentyfikowanie zainfekowanych urządzeń. Oczywiście użytkownicy powinni też pamiętać o chronieniu swoich urządzeń silnymi hasłami. Należy też rozważyć wyłączenie opcji zdalnego zarządzania urządzeniem.

FBI współpracuje z niedochodową organizacją Shadow Foundation w celu zidentyfikowania zainfekowanych urządzeń oraz powiadomienia o tym fakcie dostawców internetu i władz odpowiednich krajów, którzy mogą następnie poinformować użytkownika urządzenia o problemie.

VPNFilter został odkryty przez pracowników należącej do Cisco firmy Talos. Ich zdaniem mamy tu do czynienia z atakiem przygotowanym przez któreś z państw. Kod VPNFilter jest w wielu miejscach podobny do kodu BlackEnergy, który był wykorzystywany podczas wielu dużych ataków na cele na Ukrainie.

Specjaliści oceniają, że VPNFilter zainfekował co najmniej 500 000 urządzeń w co najmniej 54 krajach. Ofiarami ataku padają m.in. rutery firm Linksys, MikroTik, NETGEAR, TP-Link oraz urządzenia NAS firmy QNAP.


« powrót do artykułu

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

  • Similar Content

    • By KopalniaWiedzy.pl
      Google podsumowało jedną z najbardziej długotrwałych wojen, jaką stoczyło ze szkodliwym oprogramowaniem. W ciągu ostatnich trzech lat firma usunęła ponad 1700 aplikacji zarażonych różnymi odmianami szkodliwego kodu o nazwie Bread (Joker).
      Jego twórcy byli wyjątkowo uparci. Zwykle autorzy szkodliwego kodu przestają go wgrywać do Play Store gdy tylko zostanie on wykryty przez Google'a. Przestępcy stojący za Bread'em nie poddali się tak łatwo. Działali przez ponad trzy lata i co tydzień przygotowywali nową wersję szkodliwego kodu.
      Przez te trzy lata stosowali tę samą technikę – wprowadzali w kodzie serię niewielkich zmian, licząc na to, że uda się oszukać stosowane przez Google'a mechanizmy obronne. Zwykle się nie udawało, ale czasami przestępcy odnosili sukces. Na przykład we wrześniu ubiegłego roku ekspert ds. bezpieczeństwa, Aleksejs Kurpins znalazł w Play Store 24 różne aplikacje zarażone Jokerem. W październiku inny ekspert znalazł kolejną aplikację, a kilka dni później Trend Micro poinformował o odkryciu kolejnych 29 kolejnych zarażonych programów. Później znajdowano kolejne, w tym arkusze kalkulacyjne Google Docs.
      Jednak w większości wypadków mechanizmy Google'a działały dobrze i zablokowały ponad 1700 aplikacji, które miały zostać umieszczone w Play Store. Jak dowiadujemy się z wpisu na oficjalnym blogu, w pewnym momencie hakerzy użyli niemal każdej znanej techniki, by ukryć kod. Zwykle przestępcy posługiwali się jednorazowo 3–4 wariantami szkodliwego kodu. Jednak pewnego dnia próbowali wgrać aplikacja zarażone w sumie 23 odmianami kodu.
      Najbardziej skuteczną techniką zastosowaną przez twórców szkodliwego kodu było wgranie najpierw czystej aplikacji do Play Store, a następnie rozbudowywanie jej za pomocą aktualizacji zawierających już szkodliwy kod. Przestępcy nie ograniczali się jedynie do tego. Umieszczali na YouTube filmy z recenzjami, które miały zachęcić internautów do instalowania szkodliwych aplikacji.
      Jak informuje Google, twórcy Breada działali dla korzyści finansowych. Pierwsze wersje ich szkodliwego kodu miały za zadanie wysyłać SMS-y premium, z których przestępcy czerpali korzyści. Gdy Google zaostrzył reguły dotyczące korzystania przez androidowe aplikacje z SMS-ów, przestępcy przerzucili się na WAP fraud. Telefon ofiary łączył się za pomocą protokołu WAP i dokonywał opłat, którymi obciążany był rachunek telefoniczny. Ten typ ataku był popularny na na przełomie pierwszego i drugiego dziesięciolecia bieżącego wieku. Później praktycznie przestał być stosowany. Nagle, w roku 2017, wystąpił prawdziwy wysyp szkodliwego kodu, który znowu korzystał z tej techniki. Jak twierdzi Google, twórcy Breada byli najbardziej upartą i wytrwałą grupą przestępczą, która używała WAP fraud.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      The New York Times ujawnił, że US Cyber Command umieściła w rosyjskim systemie energetycznym szkodliwy kod, który miał zostać uruchomiony w razie konfliktu zbrojnego z Rosją. Dzięki niedawnym zmianom w prawie Cyber Command zyskała nowe możliwości działania i zaczęła je wykorzystywać. Nie potrzebuje przy tym akceptacji ze strony Białego Domu.
      NYT cytuje m.in. anonimowego urzędnika związanego ze służbami wywiadowczymi, który stwierdził: W ciągu ostatniego roku podjęliśmy znacznie bardziej agresywne działania. Robimy takie rzeczy i na taką skalę, o których w ogóle nie myśleliśmy jeszcze kilka lat temu.
      Oczywiście nie jesteśmy w stanie stwierdzić, czy US Cyber Command byłaby w stanie, np. całkowicie wyłączyć rosyjskie sieci energetyczne. Tak czy inaczej, źródło, na które powołuje się gazeta, twierdzi, że prezydent Trump nie został poinformowany o takich działaniach.
      Mimo, że rząd amerykański nigdy oficjalnie nie opisał swoich przeszłych działań tego typu, to narodowy doradca ds. bezpieczeństwa, John Bolton, przyznał w ubiegłym tygodniu, że Stany Zjednoczone zmieniają strategię i podejmują agresywną ofensywę przeciwko krajom, które są zaangażowane we wrogie operacje w cyberprzestrzeni. Także dowódca Cyber Command, generał Paul M. Nakasone podkreślał niedawno, że Stany Zjednoczone muszą podjąć bardziej zdecydowane działania w celu obrony swojej cyberprzestrzeni.
      Ekspert ds. bezpieczeństwa, który od dawna naciska na podjęcie takich działań, mówi, że trzeba było je rozpocząć już dawno temu, gdy tylko Departament Bezpieczeństwa Wewnętrznego i FBI zaczęły ostrzegać, iż Rosja aktywnie działa w amerykańskiej cyberprzestrzeni. Celem  takich działań jest zapewnienie sobie możliwości sparaliżowania amerykańskich systemów energetycznych, wodociągowych i innej krytycznej infrastruktury na wypadek wojny pomiędzy Rosją a USA.
      Prezydent Trump nazwał rewelacje New York Timesa wirtualnym aktem zdrady.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Chiński artysta Guo O Dong wpadł na pomysł niezwykłego happeningu, a jednocześnie na okazję do niezłego zarobku. We współpracy ze specjalizującą się w cyberbezpieczeństwie firmą Deep Instinct postanowił sprzedać laptopa. Wyprodukowany w 2008 roku Samsung NC10 z Windows XP SP3 został wystawiony na aukcji za kwotę 1,2 miliona dolarów.
      Tym, co miało zachęcić kupujących było sześć wirusów, jakie na komputerze zainstalowano. Nie były to jednak zwykłe wirusy, jakie krążą po sieci. Guo O Dong sprzedawał maszynę z malware'em, który spowodował straty o łącznej wysokości 95 miliardów USD.
      Na komputerze zainstalowano wirusy ILOVEYOU, który był rozpowszechniany za pomocą e-maili oraz serwisów do dzielenia się plikami. Łączne starty przez niego spowodowane to 15 miliardów USD. Znalazł się tam również robak MyDoom. To szkodliwy kod stworzony prawdopodobnie przez rosyjskich spamerów. W swoim czasie był jednym z najszybciej rozprzestrzeniających się robaków. Straty spowodowane jego działalnością sięgnęły 38 miliardów dolarów.
      Sobig to robak i trojan, który rozpowszechniał się za pomocą poczty elektronicznej, kopiował pliki i samodzielnie się rozprzestrzeniał. Był w stanie uszkodzić oprogramowanie. Był drugim, po MyDoom, najszybciej rozprzestrzeniającym się robakiem. Mimo, że w 2003 roku Microsoft zaoferował 250 000 USD za informacje, które doprowadzą do aresztowania twórcy Sobiga, do dzisiaj pozostaje on nieznany. Sobig spowodował straty w wysokości 37 miliardów USD.
      Z kolei WannaCry to niezwykle zaraźliwe ransomware, które tworzyło też backdoora w systemie. Zaraził on ponad 200 000 komputerów w 150 krajach i spowodował straty w wysokości 4 miliardów dolarów.
      Szkodliwy kod DarkTequila atakował przede wszystkim użytkowników w Ameryce Południowej. Specjalizował się w kradzieży danych finansowych i biznesowych. Wyposażono go w zaawansowane mechanizmy unikania oprogramowania antywirusowego.
      Ostatnim z programów na laptopie Guo O Donga był BlackEnergy. Wykorzystywał on 2 zaawansowane techniki infekowania rootkitem, szyfrowanie oraz miał architekturę modułową. Został wykorzystany w 2015 roku do ataku na infrastrukturę energetyczną Ukrainy.
      Aukcja na laptop artysty zakończyła się sukcesem. Zaoferowano zań 1.345.000 dolarów.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Cyberprzestępcy wprowadzili zmiany w serwerze DNS w ponad 100 000 ruterów na całym świecie. Dzięki temu są w stanie przekierować cały ruch przechodzący przez takie rutery. Pozwala im to np. na przeprowadzanie ataków phishingowych, podczas których zdobędą dane użytkowników czy uzyskają dostęp do ich kont bankowych.
      Atak na serwery DNS ruterów nie jest niczym nowym. Jednak ten, do którego doszło 20 września wyróżniał się olbrzymią skalą.
      Do ataku dochodziło, gdy ofiara odwiedziła witrynę, na której znajdował się odpowiedni skrypt. Był on wykonywany na komputerze ofiary i sprawdzał, czy w sieci wewnętrznej otwarte są konkretne porty. Następnie dochodziło do próby logowania się na ruter na prawach administratora. Używano przy tym metody brute force. Jako, że wielu użytkowników nie zmienia fabrycznych haseł i loginów, metoda ta w wielu przypadkach zadziałała. Po zalogowaniu na ruter przestępcy mogli zmieniać dane zapisane w serwerze DNS.
      Wiadomo, że atak działa przeciwko ponad 70 modelom ruterów. Są wśród nich produkty takich firm jak 3COM, D-LINK, Huawei, TP-LINK, Intelbras, MikroTiK czy TRIZ. Ofiarą cyberprzestępców padło ponad 100 000 ruterów, w większości znajdujących się w Brazylii. Wiadomo, że ich użytkownicy są przekierowywani na fałszywe witryny banków, firm hostingowych czy Netfliksa.

      « powrót do artykułu
    • By KopalniaWiedzy.pl
      Prokuratorzy federalni zwrócili się do sądu z wnioskiem, by nakazał FBI przedłużenie pracy serwerów zastępujących DNSChangera o kolejne 4 miesiące. Serwery mogłyby zostać wyłączone dopiero 9 lipca.
      DNSChanger zainfekował około 4 milionów komputerów na całym świecie. Zmienia on konfigurację DNS zarażonych maszyn tak, by łączyły się one z serwerami cyberprzestępców, na których wyświetlane są reklamy. FBI zlikwidowało botnet DNSChanger w listopadzie ubiegłego roku i po uzyskaniu zezwolenia sądu podstawiło zań swoje własne serwery, gdyż bez nich zarażone komputery straciłyby dostęp do internetu. Biuro planuje wyłączenie serwerów 8 marca. Ci użytkownicy, a znajdują się wśród nich osoby indywidualne, firmy oraz instytucje rządowe, którzy nie wyczyścili swoich komputerów z DNSChangera nie będą mogli połączyć się z siecią. Prokuratorzy domagają się jednak, by FBI dało internautom więcej czasu na działanie.
      Tymczasem FBI stara się o ekstradycję sześciu Estończyków, którym zarzuca rozpowszechnianie szkodliwego kodu. Cała szóstka została zatrzymana w październiku, w ramach prowadzonego od dwóch lat śledztwa o kryptonimie Operation Ghost Click. FBI podejrzewa, że twórcy DNSChangera zarobili 14 milionów dolarów na przekierowywaniu użytkowników na witryny z reklamami.
      Szkodliwy kod kierował użytkowników do wybranych przez nich witryn poprzez serwery przestępców. Uniemożliwia on tez pobranie poprawek oraz wyłącza oprogramowanie antywirusowe.
      Prokuratorzy domagający się od FBI dłuższego utrzymywania serwerów zdają sobie najwyraźniej sprawę z faktu, że użytkownicy nie spieszą się z usuwaniem DNSChangera ze swoich komputerów. Przeprowadzone dwa tygodnie temu badania wykazały, że co najmniej 250 z 500 największych firm świata wciąż posiada co najmniej 1 komputer zarażony tym szkodliwym kodem.
×
×
  • Create New...