Web

L’FBI si impadronisce delle principali botnet russe

In tal modo, le autorità possono impedire la reinfezione e porre fine alla botnet.

FBI Botnet

L’FBI ha sequestrato un dominio collegato a quella che si ritiene essere una botnet russa composta da 500.000 router infetti in tutto il mondo. Secondo il Dipartimenti di Giustizia, la botnet, cioè una rete di computer infettati da malware, è sotto il controllo del gruppo di hacking russo “Fancy Bear” o “Sofacy”. Le autorità ritengono che il gruppo sia stato anche all’origine della violazione del Comitato Nazionale Democratico durante le elezioni presidenziali nel 2016. Sofacy avrebbe utilizzato un malware chiamato “VPN Filter” per sfruttare le vulnerabilità dei router domestici prodotti da Linksys, MikroTik, NETGEAR e TP-Link e QNAP.

The Daily Beast afferma che il malware riporta a un’infrastruttura – una serie di foto che il gruppo di hacker ha caricato su Phobucket o l’URL ToKnowAll [.] Com – una volta che ha infettato un router. Tale infrastruttura installa quindi plug-in in grado di sottrarre credenziali di accesso o utilizzare computer per attaccare reti di controllo industriali come quelle della rete elettrica. Photobucket ha già cancellato quelle foto e ora le autorità hanno sequestrato ToKnowAll [.] Com per impedire al malware di essere in grado di fare qualcosa di dannoso.

 

Sulla base dei dati raccolti dall’FBI, il malware deve riconnettersi a un’infrastruttura ad ogni riavvio del router, quindi ottenere il controllo del dominio ToKnowAll [.] Com. L’FBI sarà ora in grado di vedere gli indirizzi IP delle persone le cui macchine sono state infettate dal malware. Il direttore tecnico di Symantec Vikram Thakur ha spiegato a The Daily Beast: “Una delle cose che possono fare è tenere traccia di chi è attualmente infetto e chi è la vittima,e passare le informazioni agli ISP locali. Alcuni degli ISP hanno la capacità di riavviare il router da remoto, gli altri potrebbero persino inviare lettere agli utenti domestici invitandoli a riavviare i loro dispositivi.

Poiché il malware è noto per essere presente in 54 paesi, compresi gli Stati Uniti, i produttori di router stanno incoraggiando gli utenti a riavviare i loro dispositivi e installare il firmware più recente per correggere la vulnerabilità.