FBI a confiscat un domeniu de internet legat de ceea ce se crede a fi un botnet rus compus din 500.000 de routere infectate din întreaga lume.
Potrivit Departamentului de Justiție, botnetul – adică o rețea de computere infectate cu programe malware – este sub controlul grupului de hacking rusesc „fancy bear” sau „Sofacy”. Autoritățile consideră că grupul a fost, de asemenea, în spatele scrugerii de date de la Comitetului Național Democrat din timpul alegerilor prezidențiale din 2016. Sofacy a folosit, probabil, un program malware numit „filtru VPN” pentru a exploata vulnerabilitățile routerelor de birou produse de Linksys, MikroTik, NETGEAR și TP-Link și QNAP.
Experții spun că malware-ul raportează înapoi la o infrastructură – fie un set de fotografii, precum un set de fotografii setat de grupul de hacking si încărcat pe Phobucket sau URL-ul ToKnowAll [.] Com – odată ce a infectat un router. Această infrastructură instalează plug-in-uri care pot fura acreditările de conectare sau folosesc computere pentru a ataca rețelele industriale de control precum rețeaua electrică. Photobucket a șters deja aceste fotografii, iar autoritățile au confiscat comanda ToKnowAll [.] Pentru a împiedica malware-ul să facă ceva dăunător.
Pe baza datelor colectate de FBI, malware-ul trebuie să se reconecteze la infrastructură de fiecare data cand un router este resetat, astfel că obținerea controlului asupra domeniului com. ToKnowAll [.] inseamnă ca autoritatile sunt capabile acum sa afecteze puternic functionarea botnet-ului.
FBI va putea vedea adresele IP ale persoanelor ale căror dispozitive au fost infectate cu malware-ul. Directorul tehnic Symantec, Vikram Thakur, a explicat: „Unul dintre lucrurile pe care il pot face autoritatile este să urmărească cine este în prezent infectat și cine este victima acum și să transmită această informație ISP-urilor locale. Unele dintre aceste ISP-uri au posibilitatea de a reinițializa de la distanță routerul. Ceilalți ar putea chiar să trimită scrisori utilizatorilor, îndemnându-i să-și repornească dispozitivele.
Deoarece se știe că malware-ul este prezent în 54 de țări, inclusiv Statele Unite, producatorii de routere încurajează acum utilizatorii să reseteze dispozitivele lor și să instaleze cele mai recente firmware-uri pentru a rezolva vulnerabilitatea.