ФБР накрыло крупную бот-сеть, заразившую полмиллиона роутеров

0 25 мая

ФБР захватило домен, его хакеры использовали его для управления и контроля заражёнными роутерами. Согласно данным The Daily Beast,  в 54 странах мира было больше полмиллиона хакнутых устройств.

Ответственность за атаку возлагают на Fancy Bear (или APT28) — хакерскую группировку, якобы созданную Главным управлением Генштаба Вооруженных сил России (ГРУ).

ФБР расследует это дело с августа 2017 года. Тогда в руки бюро попал заражённый маршрутизатор. Заручившись согласием пользователя, ФБР следило за трафиком, что и позволило выявить слабость вирусного ПО.

Согласно The Daily Beast, после перезагрузки маршрутизатора плагины исчезают, но вредоносное ПО остаётся. Оно начинает выполнять ряд операций по восстановлению. Среди них — обращение к домену ToKnowAll.Com и копирование туда всего трафика пользователя.

Во вторник, 22 мая, ФБР получило ордер на взятие этого домена под свой контроль, теперь Бюро его контролирует. Это означает, что вредоносное ПО повторно активировать не получится.

Минюст США советует перезагрузить маршрутизаторы или сбросить настройки до заводских следующих моделей:

  • Linksys E1200, E2500 и WRVS4400N;
  • Mikrotik RouterOS 1016, 1036 и 1072;
  • Netgear DGN2200, R6400, R7000, R8000, WNR1000 и WNR2000;
  • QNAP TS251, TS439 Pro, а также все устройства QNAP, работающие с QTS;
  • TP-Link R600VPN.

По предположениям министерства, это поможет удалить VRN-фильтр, контролирующий трафик заряжённого компьютера.