USA afbryder russisk botnet på 500, 000 hackede routere

Det amerikanske justitsministerium sagde onsdag, at det havde beslaglagt et internetdomæne, der ledede et farligt botnet af en halv million inficerede hjem- og kontorsnetværksroutere, kontrolleret af hackere, der menes at være knyttet til russisk efterretning.

Tiltaget var rettet mod at bryde en operation, der var dybt indlejret i små og mellemstore computernetværk, der kunne gøre det muligt for hackere at tage kontrol over computere og let stjæle data.

Justitsministeriet sagde, at "VPNFilter" botnet blev oprettet af en hackergruppe, der på forskellige måder hedder APT28, Pandestorm, Sandorm, Fancy Bear og Sofacy Group.

Gruppen får skylden for cyberangreb på talrige regeringer, vigtige infrastrukturindustrier som elnet, organisationen for sikkerhed og samarbejde i Europa, Verdens antidopingagentur, og andre organer.

Amerikanske efterretningstjenester siger også, at det var involveret i operationen for at hacke og frigive skadelige oplysninger om Det Demokratiske Parti under det amerikanske præsidentvalg i 2016, og har konstrueret en række computernetværksforstyrrelser i Ukraine.

"Ifølge cybersikkerhedsforskere, Sofacy-gruppen er en cyberspionagruppe, der menes at stamme fra Rusland, "sagde justitsministeriet i en retssag.

"Har sandsynligvis været i drift siden 2007, gruppen er kendt for typisk at målrette mod regeringen, militær, sikkerhedsorganisationer, og andre mål for intelligensværdi, på forskellige måder, " den sagde.

Justitsanmeldelsen sagde ikke, hvem der stod bag Sofacy Group, men amerikansk efterretningstjeneste har tidligere knyttet det til Ruslands militære efterretningsagentur GRU, og adskillige private computersikkerhedsgrupper har oprettet den samme forbindelse.

I onsdagens aktion, justitsministeriet sagde, at det havde opnået en befaling, der tillod FBI at beslaglægge et computerdomæne, der er en del af kommando- og kontrolsystemet til VPNFilter -botnet.

Botnet er målrettet hjemme- og kontorroutere, hvorigennem det kan videresende ordrer fra botnetets controllere og opfange og omdirigere trafik tilbage til dem, praktisk talt uopdaget af brugerne af et netværk.

I en rapport, der blev frigivet parallelt med justitsmeddelelsen, netværksudstyrsgiganten Cisco sagde, at VPNFilter havde inficeret mindst 500, 000 enheder i mindst 54 lande.

Det har målrettet populære routermærker som Linksys, MikroTik, NETGEAR og TP-Link.

"Denne malware's adfærd på netværksudstyr vedrører især, som komponenter i VPNFilter -malware tillader tyveri af hjemmesidens legitimationsoplysninger, "Sagde Cisco.

Det har også "en destruktiv kapacitet, der kan gøre en inficeret enhed ubrugelig, som kan udløses på individuelle offermaskiner eller en masse. "

Både Justice og Cisco sagde, at de offentliggjorde detaljer om problemet, inden de havde fundet en stærk, permanent løsning. Justice sagde, at ved at tage kontrol over et af de domæner, der er involveret i at køre VNPFilter, det vil give ejere af inficerede routere en chance for at genstarte dem, tvinge dem til at begynde at kommunikere med det nu neutraliserede kommandodomæne.

Sårbarheden vil forblive, Retfærdighed sagde, men trækket vil give dem mere tid til at identificere og gribe ind i andre dele af netværket.

© 2018 AFP