Iz Rusije s ljubavlju: Ruski sajber špijuni ponovo grade bot mrežu VPNFilter

Vesti, 04.06.2018, 01:00 AM

Iz Rusije s ljubavlju: Ruski sajber špijuni ponovo grade bot mrežu VPNFilter

Priča o bot mreži VPNFilter koju su sagradili ruski sajber špijuni, i koja je sadržala više od inficiranih 500000 rutera, a nad kojom je FBI preuzeo kontrolu pre desetak dana, nije završena, pokazuju telemetrijski podaci prikupljeni prošle nedelje.

Istraživači iz JASK-a i GreyNoise Intelligence otkrili su u petak da oni koji su odgovorni za nastanak bot mreže VPNFilter sada pokušavaju da kompromituju nove rutere i da izgrade novu bot mrežu VPNFilter.

To što su napadači fokusirani na rutere u Ukrajini nije iznenađenje za istraživače. Prva verzija botneta VPNFilter inficirala je više od 500000 rutera i NAS uređaja širom sveta, ali od 8. maja botnet je počeo da traži ukrajinske rutere.

Štaviše, stara VPNFilter bot mreža je imala komandno-kontrolni server koji je upravljao samo ukrajinskim uređajima, odvojeno od glavne bot mreže.

U vreme kada je javnost saznala za ovu bot mrežu, istraživači su verovali da iza nje stoji zloglasna ruska jedinica za sajber špijunažu APT28 i da ona priprema napad na IT infrastrukturu Ukrajine pre završetka finala Lige šampiona održanog 26. maja.

Ubrzo nakon što su istraživači Cisco Talosa otkrili postojanje bot mreže, FBI je krenuo u akciju i preuzeo domen koji se koristio za komandno-kontrolnu infrastrukturu bot mreže, i tako praktično preuzeo čitavu bot mrežu.

Međutim, čini se da to nije zbunilo APT28 i da sada traži nove uređaje koje će kompromitovati, a možda i da ovog puta izvrši planirani napad.

VPNFilter malver smatra se jednim od najnaprednijih IoT malvera. Malver se sastoji od tri komponente - payload prve faze treba da obezbedi opstanak na sistemu i da "preživi" restartovanje, komponenta druge faze je nešto kao trojanac za daljinski pristup (RAT), dok su komponente treće faze pluginovi za ovaj RAT, koji malveru obezbeđuju dodatnu funkcionalnost.

Većina karakteristika ovog malvera potvrđuje inicijalnu procenu FBI-a da iza njega stoji grupa koja deluje pod pokroviteljstvom države.

U izveštaju estonska obavještajne službe tvrdi se da je APT28 jedinica Uprave glavne obavještajne službe ruske vojske.

Ova grupa je odgovorna i za nekoliko sajber napada u Ukrajini u prošlosti, kao što je epidemija ransomwarea NotPetya i BlackEnergy napadi na električnu mrežu Ukrajine 2015. i 2016. godine.

Ukrajina je bila cilj mnogih sajber napada u proteklih nekoliko godina od početka rata sa proruskim pobunjenicima 2014. godine, kao što su incidenti BlackEnergy, NotPetya, Bad Rabbit i PSCrypt.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft povukao Huawei uređaje iz svoje online prodavnice

Microsoft  povukao Huawei uređaje iz svoje online prodavnice

Microsoft je još jedna od američkih kompanija za koju se očekuje da će prekinuti svoje veze sa Huaweijem nakon što je prošle nedelje američki ... Dalje

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Procurela baza podataka sa informacijama o milionima korisnika Instagrama

Istraživač Anurag Sen otkrio je ogromnu bazu podataka koja sadrži privatne kontakt informacije, uključujući brojeve telefona i email adrese oko ... Dalje

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Za 11 godina stari laptop zaražen čuvenim malverima na aukciji ponuđeno skoro 1,3 miliona dolara

Laptop koji je namerno zaražen sa šest ozloglašenih malvera, uključujući čuvene malvere WannaCry i ILoveIou, prodaje se na aukciji u SAD kao um... Dalje

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Sankcije protiv kompanije Huawei suspendovane na 90 dana, osnivač kompanije kaže da ih SAD potcenjuju

Osnivač kompanije Huawei, Ren Žengfej, komentarišući najnoviji potez američke administracije usmeren protiv kineske kompanije, rekao je da SAD "p... Dalje

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Google priznao da je od 2005. deo lozinki korisnika G Suite čuvao u običnom tekstu

Facebook nije jedina velika tehnološka kompanija koja čuva lozinke u obliku običnog teksta. Google je upozorio korisnike G Suite da je zbog "grešk... Dalje