Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

Chytrá bezpečnost, Chytré zprávy| 1 komentář|

FBI zlikvidovala ruský státní botnet infikující síťové firewally. Síť napadených serverů útočníci používali ke kybernetickým útokům a šíření virů.

Američané potvrdili, že agentura FBI získala vzdálený přístup k zařízením po celém světě, které se po napadení malwarem staly součástí ruského botnetu. Bez čekání na reakci majitelů provedla jejich vyčištění. Úřady dodaly, že Kreml používá malware k tajným hackerským útokům na své nepřátele.

Infikovaná zařízení tvořila především firewallová zařízení od společnosti WatchGuard a v menší míře síťová zařízení od společnosti Asus. Oba výrobci nedávno vydali doporučení, v nichž uvádějí doporučení pro zabezpečení nebo dezinfekci zařízení infikovaných botnetem, známým pod jménem Cyclops Blink. Jedná se o nejnovější botnetový malware od ruské hackerské skupiny Sandworm, která patří mezi nejelitnější a nejničivější státem sponzorované hackerské organizace na světě.

Obávaní hackeři ze skupiny Sandworm málem uspěli

Na Cyclops Blink společně upozornily v únoru britské Národní centrum kybernetické bezpečnosti (NCSC), Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Národní bezpečnostní agentura (NSA) a Federální úřad pro vyšetřování (FBI). Společnost WatchGuard tehdy uvedla, že tento malware infikoval přibližně 1 % síťových zařízení, která vyrobila.

Cyclops Blink byl náhradou za jiný malware navržený skupinou Sandworm, známý jako VPNFilter, který výzkumníci objevili v roce 2018 a který infikoval 500 000 amerických routerů vyráběných společnostmi Linksys, MikroTik, Netgear, QNAP a TP-Link. FBI rychle zabavila server, který Sandworm používal k infikování zařízení pomocí VPNFilteru. Jakmile byl tento proces dokončen, úřad vydal pokyn, aby veřejnost restartovala svá zařízení. Tím byl botnet zlikvidován.

Obrázek: Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

Nezabezpečená síťová zařízení slouží jako „zombie“ a plní vzdálené povely útočníků. Foto: Pixabay

Cyclops Blink byl pokusem Sandwormu získat trvalou kontrolu nad síťovými zařízeními a tento malware téměř uspěl. Ve středečním soudním prohlášení federální prokurátoři napsali:

„Stejně jako v případě VPNFilteru nasadili aktéři Sandwormu Cyclops Blink na síťová zařízení po celém světě způsobem, který se zdá být nevybíravý, tj. zdá se, že infekce konkrétního zařízení aktéry Sandwormu vedla spíše ke zranitelnosti tohoto zařízení vůči malwaru než k cílenému úsilí zaměřenému na toto konkrétní zařízení nebo jeho majitele z jiných důvodů. Aktéři Sandworm tak učinili prostřednictvím zneužití softwarových zranitelností v různých síťových zařízeních, především v firewall zařízeních WatchGuard. Ta jsou zranitelná vůči exploitu, který umožňuje neoprávněný vzdálený přístup k panelům pro správu těchto zařízení.“

Botnet byl aktivní i po 24. únoru. Tehdy společnost WatchGuard ve spolupráci s FBI vydala pokyny pro návrat vyčištěných zařízení do původního stavu a tipy pro konfiguraci zařízení, které zabrání neomezenému přístupu k rozhraní pro správu. WatchGuard také opravil zranitelnost sledovanou jako CVE-2022-23176, která otevírala díru pro obcházení ověřování, když byly servery nakonfigurovány tak, aby umožňovaly neomezený přístup ke správě z externích IP adres. Navzdory tomu, že CVE byla vydána letos, společnost WatchGuard ve středu uvedla, že zranitelnost byla plně vyřešena v květnu 2021. Šlo tak především o neaktualizovaná zařízení.

Obrázek: Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

I v FBI mají své hackery. Oproti Anonymous pracují ve větším utajení a jsou financováni vládou. Foto: Unsplash

Hackeři z FBI nabourali servery v USA, které následně vyčistili od malwaru

Po únorovém upozornění však počet zařízení v botnetu Cyclops Blink klesl o pouhých 39 procent. V reakci na to FBI zašla ještě o krok dál než v případě VPNFilteru v roce 2018. Při tajné operaci posvěcené federálním příkazem k prohlídce agenti získali vzdálený přístup k infikovaným zařízením WatchGuard připojeným ke 13 IP adresám v USA. Odtud agenti:

  • Potvrdili přítomnost malwaru Cyclops Blink.
  • Zaznamenali sériové číslo, které Cyclops Blink používal ke sledování svých botů.
  • Zkopírovali seznam dalších zařízení, která byla také infikována nástrojem Cyclops Blink.
  • Vyčistili tato zařízení.
  • Uzavřeli porty pro správu směřující do internetu, aby zabránili Sandwormu ve vzdáleném přístupu.

Není to poprvé, kdy FBI získala vzdálený přístup k infikovanému zařízení, aby odstranila hrozbu. „Myslím, že pro orgány činné v trestním řízení je vždy riskantní upravovat cokoli na serveru, který nemají pod kontrolou. V tomto případě si však nemyslím, že by existovalo významné riziko, takže výhody jasně převážily nad riziky. Skutečnost, že FBI při této akci koordinovala svou činnost se soukromým podnikem (WatchGuard), je obzvláště významná,“ zmínil Jake Williams, bývalý hacker NSA a nyní výkonný ředitel oddělení kybernetických hrozeb bezpečnostní firmy SCYTHE.

Zdroje: 1, 2

O autorovi

Lukáš Voříšek

Autora baví neustálé inovace a průlomy na poli vědy, které by dříve čekal málokdo. Specializuje se na AI, mobilní technologie a kybernetickou bezpečnost. Prošel si redakcemi technických magazínů Stahuj, PCTuning a CDR.

1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Inoz

To je nějaká dezinformace. Hackeři jsou přece jen v číně a rusku, takže hoax jak vyšitý.

-1

Příbuzné příspěvky

Obrázek: Hoříš, má Oktávko: Proč, když hoří spalováky, podezírají Češi elektromobily?
Hoříš, má Oktávko: Proč, když hoří spalováky, podezírají Češi elektromobily?
Obrázek: Husité na obzoru? Ukázky ze hry a vše, co víme o Kingdom Come: Deliverance II
Husité na obzoru? Ukázky ze hry a vše, co víme o Kingdom Come: Deliverance II
Obrázek: Senzorická AI v praxi: Zachraňuje životy a řídí automobily. České firmy se jí ale bojí
Senzorická AI v praxi: Zachraňuje životy a řídí automobily. České firmy se jí ale bojí
Obrázek: Robot Atlas, který oslnil svět, odchází do důchodu. Nový Atlas je plně elektrický
Robot Atlas, který oslnil svět, odchází do důchodu. Nový Atlas je plně elektrický
Obrázek: Máte doma nefunkční GPS lokátor od Invoxia? Nyní bude v ČR opět fungovat
Máte doma nefunkční GPS lokátor od Invoxia? Nyní bude v ČR opět fungovat
Obrázek: Tesla v ČR otevřela své rychlonabíječky pro všechny elektromobily. Jak nabíjet na Superchargeru?
Tesla v ČR otevřela své rychlonabíječky pro všechny elektromobily. Jak nabíjet na Superchargeru?
Obrázek: Noční fotografie s vivo X100 Pro: Jak fotit v noci se smartphonem jako profík?
Noční fotografie s vivo X100 Pro: Jak fotit v noci se smartphonem jako profík?
Obrázek: Recenze robotického vysavače TESLA RoboStar iQ700 s laserovou navigací: Čistá domácnost bez námahy?
85%
Recenze robotického vysavače TESLA RoboStar iQ700 s laserovou navigací: Čistá domácnost bez námahy?