Das US Federal Bureau of Investigation hat am Freitag eine öffentliche Bekanntmachung veröffentlicht, in der es darum gebeten wurde. „Jeder Besitzer von Routern für kleine Büros und Heimbüros schaltet die Geräte aus und wieder ein.“ Die Maßnahme soll stören. ein potenzieller Cyberangriff von Agenten einer ausländischen Regierung gegen US-Bürger.
“ Den Besitzern wird empfohlen, die Remoteverwaltungseinstellungen auf Geräten zu deaktivieren und bei Aktivierung mit sicheren Kennwörtern und Verschlüsselung zu sichern. Netzwerkgeräte sollten auf die neuesten verfügbaren Firmware-Versionen aktualisiert werden “, fügte die Erklärung hinzu.
54 betroffene Länder
Die Ankündigung erfolgt, nachdem Sicherheitsexperten der Cyberintelligence-Abteilung von Cisco, Talos, a veröffentlicht haben. Warnung am Mittwoch in Bezug auf die schädliche Software, die sie VPNFilter genannt haben. Talos schätzte, dass die Malware infiziert wurde 500.000 Consumer-Router in 54 Ländern.
Talos warnte auch, dass "Komponenten der VPNFilter-Malware den Diebstahl von Website-Anmeldeinformationen und die Überwachung von Modbus SCADA-Protokollen ermöglichen" und dass die Malware "das Potenzial hat, den Internetzugang für Hunderttausende von Opfern weltweit zu sperren". Die Cyberintelligence-Abteilungsagte, es werde weiterhin Findinds veröffentlichen, während ihre Untersuchung fortschreitet.
Verbunden mit der russischen Regierung
In der Zwischenzeit Das Justizministerium hat VPNFilter mit der mit der russischen Regierung verbundenen Cyberspionagegruppe Sofacy verbunden, die auch als APT 28, X-Agent, Bauernsturm oder ausgefallener Bär bezeichnet wird. Dies stimmt mit Talos Berichten überein, dass der in der Malware verwendete Computercode dem BlackEnergy sehr ähnlich warMalware, die für groß angelegte Angriffe in der Ukraine und für derzeit andauernde Angriffe verantwortlich ist.
"Obwohl dies keineswegs endgültig ist, haben wir auch VPNFilter beobachtet, eine potenziell zerstörerische Malware, die ukrainische Hosts mit alarmierender Geschwindigkeit aktiv infiziert und eine diesem Land zugewiesene Befehls- und Kontrollinfrastruktur C2 nutzt", erklärte TalosDie Ukraine ist bekannt dafür, das Ziel russischer Hacker zu sein, da der von Russland unterstützte Aufstand derzeit die östlichen Provinzen des Landes bedroht.
Das Justizministerium am Freitag veröffentlicht a Aussage mit Zitaten mehrerer Beamter zu den Angriffen. Der stellvertretende Generalstaatsanwalt für nationale Sicherheit, John C. Demers, sagte, die Abteilung sei "entschlossen, die Cyber-Bedrohungen der nationalen Sicherheit mit jedem uns zur Verfügung stehenden Tool zu stören und nicht nur zu beobachten."
In der Ankündigung wurden Besitzer von SOHO- und NAS-Geräten aufgefordert, ihre Geräte neu zu starten. Obwohl ein Neustart die Gefahr einer erneuten Infektion nicht aufhält, wird dies der Fall sein. Verhindern Sie vorübergehend, dass infizierte Geräte der Malware erlauben, Daten zu sammeln und andere Angriffe auszuführen, und unterstützen Sie möglicherweise FBI-Beamte bei der Verfolgung der Infektion.
In der Erklärung heißt es auch, dass das FBI mit der gemeinnützigen Shadowserver Foundation zusammenarbeitet, um "die IP-Adressen an diejenigen weiterzugeben, die bei der Korrektur des VPNFilter-Botnetzes helfen können, einschließlich ausländischer CERTs und Internetdienstanbieter." Während sich die technischen Fähigkeiten unserer Gegner weiterentwickeln, werden sich das FBI und seine Partner weiterhin der Herausforderung stellen und sich zwischen die Gegner und ihre beabsichtigten Opfer stellen ", schloss der verantwortliche FBI-Spezialagent David J. LeValley.
In der Zwischenzeit haben die Zielrouterhersteller Linksys, MikroTik, Netgear, QNAP und TP-Link Anweisungen zum Aktualisieren der Routersoftware veröffentlicht. Talos hat dies auch getan. Vorgeschlagene Router-Besitzer deaktivieren die Remoteverwaltungseinstellungen.
Via : FBI , Talos , Justizministerium