ФБР знешкодило зомбі-комп'ютери, які могли здійснити кібератаку проти України

Fancy Bear Копирайт изображения Sean Gallup / Getty Images
Image caption Кібератака могла статися в день фіналу Ліги чемпіонів УЄФА або в День конституції України, вважають фахівці

Російське хакерське угруповання Fancy Bear могло отримати доступ до 500 тисяч роутерів в 54 країнах. Висновки фахівців з комп'ютерної безпеки з компанії Cisco Talos підтвердили у ФБР та Службі безпеки України.

Заразивши пристрої для роздачі інтернету, зловмисники могли викрадати з них дані користувачів, а також використовувати для кібератак.

Армію зомбі-пристроїв вдалося знешкодити за кілька днів до того, як її могли привести в дію. Головним об'єктом запланованої кібератаки була критична інфраструктура України.

Вірус, що може вивести роутер з ладу

Історія викриття ботнету (мережі заражених пристроїв) почалася в серпні 2017 року, коли ФБР постукало в двері будинку жительки міста Піттсбург. Агенти сказали, що її домашнім роутером керують зловмисники, і жінка добровільно передала свій пристрій правоохоронцям для перевірки, пише американське видання The Daily Beast, посилаючись на матеріали суду.

Одночасно компанія Cisco Talos проводила своє розслідування. Як зловмисники вибирали жертв, експерти не з'ясували, але змогли визначити шлях зараження.

На першому етапі в пам'яті роутера з'являється так званий дроппер - код, здатний "пережити" перезавантаження пристрою. Він завантажує на пристрій основний модуль вірусу.

Основний модуль може виконувати команди зловмисників, збирати файли, фільтрувати дані та управляти пристроями. Деякі версії вірусу містять функції самознищення і виведення роутера з ладу.

Роутери завантажували фотографії з популярного сховища Photobucket. Усередині фотофайлів зберігалися приховані дані, на перший погляд - географічні координати. Насправді ж, номери були мережевими адресами (IP), через які зловмисники керували зараженими пристроями. IP були орендовані в різних країнах світу - від Нідерландів до Саудівської Аравії.

В Cisco Talos назвали цей ботнет VPNFilter.

Роутери, яким загрожує VPNFilter
Linksys E1200 Netgear DGN2200
Linksys E2500 Netgear R6400
Linksys WRVS4400N Netgear R7000
Mikrotik RouterOS (1016, 1036 и 1072) Netgear R8000
NAS QNAP з програмним забезпеченням QTS Netgear WNR1000
QNAP TS251 Netgear WNR2000
QNAP TS439 Pro TP-Link R600VPN

23 травня міністерство юстиції США оголосило, що ботнет створений хакерської групою Fancy Bear. Американська влада впевнена - під маскою "химерного ведмедя" ховається російська військова розвідка, а саме Головне управління Генштабу Збройних сил Росії (ГРУ). Угруповання відоме з середини 2000-х років, в останні роки жертвами його атак ставали Бундестаг, національний комітет Демократичної партії США, НАТО та французький телеканал TV5 Monde.

Копирайт изображения Screenshot - fancy bears
Image caption На Заході впевнені, що угрупованняя Fancy Bear контролює російська військова розвідка, а саме Головне управління Генштабу Збройних сил Росії (ГРУ)

В Cisco Talos не відповіли на питання Російської служби Бі-бі-сі про зв'язок VPNFilter з Fancy Bear, і наголосили, що розслідування триває.

"Власникам пристроїв, які могли бути заражені, необхідно негайно перезавантажити їх, аби усунути шкідливі програми", - йдеться на сайті Міністерства юстиції США.

Хронологія нападів

Про нейтралізацію ботнету також відзвітувала Служба безпеки України. У підготовці "чергового акту кіберагресіі" СБУ також звинуватила Росію. За версією української влади, ботнет створили для дестабілізації ситуації під час фіналу Ліги чемпіонів, який пройде в Києві 26 травня.

На користь версії про російський слід кажуть перетини в коді VPNFilter з кібератакою BlackEnergy на українські електростанції та енергетичні компанії в 2016 році, яка залишила без світла 230 тисяч людей.

Дата цієї кібератаки - 23 грудня - збігається з офіційним Днем штабних спеціальностей та військ спеціального зв'язку України. Саме ці сили мали протистояти кібератаці.

Наступна велика атака на українську інфраструктуру за допомогою вірусу Petya 27 червня 2017 року майже збіглася з Днем конституції України.

Копирайт изображения Getty Images
Image caption В СБУ вважають, що за допомогою ботнету російські хакери збиралися зірвати фінал Ліги Чемпіонів в Києві

"Збіги за часом з попередніми кібератаками на Україну вказували на те, що нова атака може бути неминучою, - заявили в Cisco Talos. - З огляду на цей факт, після консультацій з нашими партнерами ми вирішили відразу вийти на публіку з результатами нашого дослідження до його завершення".

Російська влада заперечує причетність до хакерських атак. Прес-секретар президента Росії Дмитро Пєсков заявив, що Росія не планувала хакерську атаку на Україну і цього разу.

VPNFilter із 500 тис ботів - далеко не найбільша мережа заражених пристроїв. На піку поширення ботнету Bredolab, в кінці 2000-х років, в його підпорядкуванні знаходилося понад 30 млн пристроїв. У компанії Trend Micro вважають, що Bredolab використовувався для розсилки спаму і створили його саме в Росії.

Хочете отримувати головні новини в месенджер? Підписуйтеся на наш Telegram.

Також на цю тему

Новини на цю ж тему