Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

Chytrá bezpečnost, Chytré zprávy| 1 komentář|

FBI zlikvidovala ruský státní botnet infikující síťové firewally. Síť napadených serverů útočníci používali ke kybernetickým útokům a šíření virů.

Američané potvrdili, že agentura FBI získala vzdálený přístup k zařízením po celém světě, které se po napadení malwarem staly součástí ruského botnetu. Bez čekání na reakci majitelů provedla jejich vyčištění. Úřady dodaly, že Kreml používá malware k tajným hackerským útokům na své nepřátele.

Infikovaná zařízení tvořila především firewallová zařízení od společnosti WatchGuard a v menší míře síťová zařízení od společnosti Asus. Oba výrobci nedávno vydali doporučení, v nichž uvádějí doporučení pro zabezpečení nebo dezinfekci zařízení infikovaných botnetem, známým pod jménem Cyclops Blink. Jedná se o nejnovější botnetový malware od ruské hackerské skupiny Sandworm, která patří mezi nejelitnější a nejničivější státem sponzorované hackerské organizace na světě.

Obávaní hackeři ze skupiny Sandworm málem uspěli

Na Cyclops Blink společně upozornily v únoru britské Národní centrum kybernetické bezpečnosti (NCSC), Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Národní bezpečnostní agentura (NSA) a Federální úřad pro vyšetřování (FBI). Společnost WatchGuard tehdy uvedla, že tento malware infikoval přibližně 1 % síťových zařízení, která vyrobila.

Cyclops Blink byl náhradou za jiný malware navržený skupinou Sandworm, známý jako VPNFilter, který výzkumníci objevili v roce 2018 a který infikoval 500 000 amerických routerů vyráběných společnostmi Linksys, MikroTik, Netgear, QNAP a TP-Link. FBI rychle zabavila server, který Sandworm používal k infikování zařízení pomocí VPNFilteru. Jakmile byl tento proces dokončen, úřad vydal pokyn, aby veřejnost restartovala svá zařízení. Tím byl botnet zlikvidován.

Obrázek: Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

Nezabezpečená síťová zařízení slouží jako „zombie“ a plní vzdálené povely útočníků. Foto: Pixabay

Cyclops Blink byl pokusem Sandwormu získat trvalou kontrolu nad síťovými zařízeními a tento malware téměř uspěl. Ve středečním soudním prohlášení federální prokurátoři napsali:

„Stejně jako v případě VPNFilteru nasadili aktéři Sandwormu Cyclops Blink na síťová zařízení po celém světě způsobem, který se zdá být nevybíravý, tj. zdá se, že infekce konkrétního zařízení aktéry Sandwormu vedla spíše ke zranitelnosti tohoto zařízení vůči malwaru než k cílenému úsilí zaměřenému na toto konkrétní zařízení nebo jeho majitele z jiných důvodů. Aktéři Sandworm tak učinili prostřednictvím zneužití softwarových zranitelností v různých síťových zařízeních, především v firewall zařízeních WatchGuard. Ta jsou zranitelná vůči exploitu, který umožňuje neoprávněný vzdálený přístup k panelům pro správu těchto zařízení.“

Botnet byl aktivní i po 24. únoru. Tehdy společnost WatchGuard ve spolupráci s FBI vydala pokyny pro návrat vyčištěných zařízení do původního stavu a tipy pro konfiguraci zařízení, které zabrání neomezenému přístupu k rozhraní pro správu. WatchGuard také opravil zranitelnost sledovanou jako CVE-2022-23176, která otevírala díru pro obcházení ověřování, když byly servery nakonfigurovány tak, aby umožňovaly neomezený přístup ke správě z externích IP adres. Navzdory tomu, že CVE byla vydána letos, společnost WatchGuard ve středu uvedla, že zranitelnost byla plně vyřešena v květnu 2021. Šlo tak především o neaktualizovaná zařízení.

Obrázek: Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

I v FBI mají své hackery. Oproti Anonymous pracují ve větším utajení a jsou financováni vládou. Foto: Unsplash

Hackeři z FBI nabourali servery v USA, které následně vyčistili od malwaru

Po únorovém upozornění však počet zařízení v botnetu Cyclops Blink klesl o pouhých 39 procent. V reakci na to FBI zašla ještě o krok dál než v případě VPNFilteru v roce 2018. Při tajné operaci posvěcené federálním příkazem k prohlídce agenti získali vzdálený přístup k infikovaným zařízením WatchGuard připojeným ke 13 IP adresám v USA. Odtud agenti:

  • Potvrdili přítomnost malwaru Cyclops Blink.
  • Zaznamenali sériové číslo, které Cyclops Blink používal ke sledování svých botů.
  • Zkopírovali seznam dalších zařízení, která byla také infikována nástrojem Cyclops Blink.
  • Vyčistili tato zařízení.
  • Uzavřeli porty pro správu směřující do internetu, aby zabránili Sandwormu ve vzdáleném přístupu.

Není to poprvé, kdy FBI získala vzdálený přístup k infikovanému zařízení, aby odstranila hrozbu. „Myslím, že pro orgány činné v trestním řízení je vždy riskantní upravovat cokoli na serveru, který nemají pod kontrolou. V tomto případě si však nemyslím, že by existovalo významné riziko, takže výhody jasně převážily nad riziky. Skutečnost, že FBI při této akci koordinovala svou činnost se soukromým podnikem (WatchGuard), je obzvláště významná,“ zmínil Jake Williams, bývalý hacker NSA a nyní výkonný ředitel oddělení kybernetických hrozeb bezpečnostní firmy SCYTHE.

Zdroje: 1, 2

O autorovi

Lukáš Voříšek

Autora baví neustálé inovace a průlomy na poli vědy, které by dříve čekal málokdo. Specializuje se na AI, mobilní technologie a kybernetickou bezpečnost. Prošel si redakcemi technických magazínů Stahuj, PCTuning a CDR.

Odebírat
Upozornit na
guest
1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments

Příbuzné příspěvky

Obrázek: Překlad psího štěkotu a záchodový držák na smartphone? Nejlepší aprílové žertíky ze světa technologií v roce 2025
Překlad psího štěkotu a záchodový držák na smartphone? Nejlepší aprílové žertíky ze světa technologií v roce 2025
Obrázek: Vědci vygenerovali elektřinu díky rotaci Země. 17 mikrovoltů je extrémně málo, i tak může jít o revoluci
Vědci vygenerovali elektřinu díky rotaci Země. 17 mikrovoltů je extrémně málo, i tak může jít o revoluci
Obrázek: Vědci vyvinuli první operační systém pro kvantové sítě
Vědci vyvinuli první operační systém pro kvantové sítě
Obrázek: Displeje ohebné či natahovací? Z mnoha konceptů se do reálu podívá jen hrstka
Displeje ohebné či natahovací? Z mnoha konceptů se do reálu podívá jen hrstka
Obrázek: Další krabičku nepotřebujete: Překladač do kapsy zdarma nahradíte mobilním telefonem
Další krabičku nepotřebujete: Překladač do kapsy zdarma nahradíte mobilním telefonem
Obrázek: Vyzdobte si chaty ve WhatsAppu: Nová funkce udělá vaši komunikaci zábavnější a přehlednější
Vyzdobte si chaty ve WhatsAppu: Nová funkce udělá vaši komunikaci zábavnější a přehlednější
Obrázek: Podvod s investicemi aneb Jak jsem podvodníkům poslal peníze a nechal se dobrovolně okrást
Podvod s investicemi aneb Jak jsem podvodníkům poslal peníze a nechal se dobrovolně okrást
Obrázek: Větrák na topení ušetří za energie a zrychlí vyhřátí místnosti: Lidé objevují nový trik s PC ventilátorem
Větrák na topení ušetří za energie a zrychlí vyhřátí místnosti: Lidé objevují nový trik s PC ventilátorem