ФБР обезвредило сеть компьютеров-зомби, подконтрольную российским хакерам

Источник материала:

Российская хакерская группа Fancy Bear могла получить доступ к 500 тыс. роутеров в 54 странах. Выводы специалистов по компьютерной безопасности из компании Cisco Talos подтвердило американское ФБР и Служба безопасности Украины.

Заразив устройства для раздачи интернета, злоумышленники могли похищать с них данные пользователей, а также использовать для кибератак.

Армию зомби-устройств удалось обезвредить за несколько дней до того, как она могла быть активирована. Главным объектом планировавшейся кибератаки была критическая инфраструктура Украины.

Вирус-самоуничтожитель

История разоблачения ботнета (сети зараженных устройств) началась в августе 2017 года, когда ФБР постучалось в дверь жительницы Питтсбурга. Агенты сказали, что ее домашний роутер управляется злоумышленниками, и женщина добровольно передала свое устройство властям для проверки, пишет американское издание The Daily Beast по судебным материалам.

Одновременно компания Cisco Talos проводила свое расследование. Как злоумышленники выбирали жертв, эксперты не выяснили, но смогли выстроить полную картину заражения.

На первом этапе в памяти роутера появляется так называемый дроппер — код, способный «пережить» перезагрузку устройства и скачивающий на него основной модуль вируса.

Основной модуль может выполнять команды злоумышленников, собирать файлы, фильтровать данные и управлять устройствами. Некоторые версии вируса содержат функции самоуничтожения и вывода роутера из строя.

Роутеры скачивали фотографии с популярного хранилища Photobucket. Внутри фотофайлов хранились скрытые данные, на первый взгляд — географические координаты. На деле, номера представляли собой сетевые адреса (IP), через которые злоумышленники управляли зараженными устройствами. IP были арендованы в разных странах мира — от Нидерландов до Саудовской Аравии.

В Cisco Talos назвали этот ботнет VPNFilter.

23 мая министерство юстиции США заявило, что ботнет создан хакерской группой Fancy Bear. Американские власти верят, что под маской «причудливого медведя» скрывается российская военная разведка, а именно Главное управление Генштаба Вооруженных сил России (ГРУ). Группа известна с середины 2000-х годов, в последние годы ее жертвами становились Бундестаг, комитет Демократической партии США, НАТО и французский телеканал TV5 Monde.

В Cisco Talos не ответили на вопрос Русской службы Би-би-си о связи VPNFilter с Fancy Bear, уточнив, что расследование продолжается.

«Владельцам устройств, которые могли быть заражены, необходимо незамедлительно перезагрузить их, чтобы устранить вредоносные программы», — говорится на сайте минюста США.

Нумерология нападений

О нейтрализации ботнета также отчиталась Служба безопасности Украины. В подготовке «очередного акта киберагрессии» СБУ также обвинила Россию. По версии украинских властей, ботнет создавался для дестабилизации ситуации во время финала Лиги чемпионов, который пройдет в Киеве 26 мая.

В пользу версии о российском следе говорят пересечения в коде VPNFilter с кибератакой BlackEnergy на украинские электростанции и энергетические компании в 2016 году, которая оставила без света 230 тыс. человек.

Дата этой кибератаки — 23 декабря — совпадает с официальным Днем штабных специальностей и войск специальной связи Украины. Именно эти силы должны были противостоять кибератаке.

Следующая крупная атака на украинскую инфраструктуру с помощью вируса Petya 27 июня 2017 года совпала с Днем конституции Украины.

«Совпадения по времени с предыдущими кибератаками на Украину указывали на то, что новая атака может быть неизбежной, — заявили в Cisco Talos. — Учитывая этот факт, после консультаций с нашими пантерами мы решили сразу выйти на публику с результатами нашего исследования до его завершения».

Российские власти отрицают причастность к хакерским атакам. Пресс-секретарь президента России Дмитрий Песков заявил, что Россия не планировала хакерскую атаку на Украину и в этот раз.

VPNFilter с 500 тыс. ботов — далеко не самая большая сеть зараженных устройств. На пике распространения ботнета Bredolab, в конце 2000-х годов, в его подчинении находилось более 30 млн устройств. В компании Trend Micro считают, что Bredolab использовался для рассылки спама и также был создан в России.