Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

FBI zlikvidovala ruský státní botnet infikující síťové firewally. Síť napadených serverů útočníci používali ke kybernetickým útokům a šíření virů.

Američané potvrdili, že agentura FBI získala vzdálený přístup k zařízením po celém světě, které se po napadení malwarem staly součástí ruského botnetu. Bez čekání na reakci majitelů provedla jejich vyčištění. Úřady dodaly, že Kreml používá malware k tajným hackerským útokům na své nepřátele.

Infikovaná zařízení tvořila především firewallová zařízení od společnosti WatchGuard a v menší míře síťová zařízení od společnosti Asus. Oba výrobci nedávno vydali doporučení, v nichž uvádějí doporučení pro zabezpečení nebo dezinfekci zařízení infikovaných botnetem, známým pod jménem Cyclops Blink. Jedná se o nejnovější botnetový malware od ruské hackerské skupiny Sandworm, která patří mezi nejelitnější a nejničivější státem sponzorované hackerské organizace na světě.

Obávaní hackeři ze skupiny Sandworm málem uspěli

Na Cyclops Blink společně upozornily v únoru britské Národní centrum kybernetické bezpečnosti (NCSC), Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), Národní bezpečnostní agentura (NSA) a Federální úřad pro vyšetřování (FBI). Společnost WatchGuard tehdy uvedla, že tento malware infikoval přibližně 1 % síťových zařízení, která vyrobila.

Cyclops Blink byl náhradou za jiný malware navržený skupinou Sandworm, známý jako VPNFilter, který výzkumníci objevili v roce 2018 a který infikoval 500 000 amerických routerů vyráběných společnostmi Linksys, MikroTik, Netgear, QNAP a TP-Link. FBI rychle zabavila server, který Sandworm používal k infikování zařízení pomocí VPNFilteru. Jakmile byl tento proces dokončen, úřad vydal pokyn, aby veřejnost restartovala svá zařízení. Tím byl botnet zlikvidován.

Obrázek: Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

Nezabezpečená síťová zařízení slouží jako „zombie“ a plní vzdálené povely útočníků. Foto: Pixabay

Cyclops Blink byl pokusem Sandwormu získat trvalou kontrolu nad síťovými zařízeními a tento malware téměř uspěl. Ve středečním soudním prohlášení federální prokurátoři napsali:

„Stejně jako v případě VPNFilteru nasadili aktéři Sandwormu Cyclops Blink na síťová zařízení po celém světě způsobem, který se zdá být nevybíravý, tj. zdá se, že infekce konkrétního zařízení aktéry Sandwormu vedla spíše ke zranitelnosti tohoto zařízení vůči malwaru než k cílenému úsilí zaměřenému na toto konkrétní zařízení nebo jeho majitele z jiných důvodů. Aktéři Sandworm tak učinili prostřednictvím zneužití softwarových zranitelností v různých síťových zařízeních, především v firewall zařízeních WatchGuard. Ta jsou zranitelná vůči exploitu, který umožňuje neoprávněný vzdálený přístup k panelům pro správu těchto zařízení.“

Botnet byl aktivní i po 24. únoru. Tehdy společnost WatchGuard ve spolupráci s FBI vydala pokyny pro návrat vyčištěných zařízení do původního stavu a tipy pro konfiguraci zařízení, které zabrání neomezenému přístupu k rozhraní pro správu. WatchGuard také opravil zranitelnost sledovanou jako CVE-2022-23176, která otevírala díru pro obcházení ověřování, když byly servery nakonfigurovány tak, aby umožňovaly neomezený přístup ke správě z externích IP adres. Navzdory tomu, že CVE byla vydána letos, společnost WatchGuard ve středu uvedla, že zranitelnost byla plně vyřešena v květnu 2021. Šlo tak především o neaktualizovaná zařízení.

Obrázek: Hackeři z FBI ve válce s Ruskem: Bez optání čistí cizí servery napadené ruským malwarem

I v FBI mají své hackery. Oproti Anonymous pracují ve větším utajení a jsou financováni vládou. Foto: Unsplash

Hackeři z FBI nabourali servery v USA, které následně vyčistili od malwaru

Po únorovém upozornění však počet zařízení v botnetu Cyclops Blink klesl o pouhých 39 procent. V reakci na to FBI zašla ještě o krok dál než v případě VPNFilteru v roce 2018. Při tajné operaci posvěcené federálním příkazem k prohlídce agenti získali vzdálený přístup k infikovaným zařízením WatchGuard připojeným ke 13 IP adresám v USA. Odtud agenti:

  • Potvrdili přítomnost malwaru Cyclops Blink.
  • Zaznamenali sériové číslo, které Cyclops Blink používal ke sledování svých botů.
  • Zkopírovali seznam dalších zařízení, která byla také infikována nástrojem Cyclops Blink.
  • Vyčistili tato zařízení.
  • Uzavřeli porty pro správu směřující do internetu, aby zabránili Sandwormu ve vzdáleném přístupu.

Není to poprvé, kdy FBI získala vzdálený přístup k infikovanému zařízení, aby odstranila hrozbu. „Myslím, že pro orgány činné v trestním řízení je vždy riskantní upravovat cokoli na serveru, který nemají pod kontrolou. V tomto případě si však nemyslím, že by existovalo významné riziko, takže výhody jasně převážily nad riziky. Skutečnost, že FBI při této akci koordinovala svou činnost se soukromým podnikem (WatchGuard), je obzvláště významná,“ zmínil Jake Williams, bývalý hacker NSA a nyní výkonný ředitel oddělení kybernetických hrozeb bezpečnostní firmy SCYTHE.

Zdroje: 1, 2

Odebírat
Upozornit na
guest
1 Komentář
nejstarší
nejnovější nejlépe hodnocené
Inline Feedbacks
View all comments
Inoz

To je nějaká dezinformace. Hackeři jsou přece jen v číně a rusku, takže hoax jak vyšitý.

Obrázek: Vyznáte se v USB? Nová označení mají vše zjednodušit
Vyznáte se v USB? Nová označení mají vše zjednodušit
Obrázek: Amazon představil první čtečku Kindle se stylusem a budík mapující spánek
Amazon představil první čtečku Kindle se stylusem a budík mapující spánek
Obrázek: Hledáte výkonný notebook pro kreativní vyžití? Řada Studio je špičkou v oboru
Hledáte výkonný notebook pro kreativní vyžití? Řada Studio je špičkou v oboru
Obrázek: Jak na škody způsobené umělou inteligencí? EU upraví legislativu
Jak na škody způsobené umělou inteligencí? EU upraví legislativu
Obrázek: Co je to spyware a jak se proti němu bránit?
Co je to spyware a jak se proti němu bránit?
Obrázek: BeReal: Jak funguje sociální síť bez přetvářky?
BeReal: Jak funguje sociální síť bez přetvářky?
Obrázek: Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Přečtěte si příchozí zprávu, aniž by to kdokoliv věděl
Obrázek: Jak zmizet z internetu beze stopy?
Jak zmizet z internetu beze stopy?