ФБР обезвредило компьютеры-зомби, которые могли осуществить кибератаку против Украины

Fancy Bear Копірайт зображення Sean Gallup / Getty Images
Image caption Нападение должно было произойти в день финала Лиги чемпионов УЕФА или в День конституции Украины, считают специалисты

Российская хакерская группа Fancy Bear могла получить доступ к 500 тыс. роутеров в 54 странах. Выводы специалистов по компьютерной безопасности из компании Cisco Talos подтвердило американское ФБР и Служба безопасности Украины.

Заразив устройства для раздачи интернета, злоумышленники могли похищать с них данные пользователей, а также использовать для кибератак.

Армию зомби-устройств удалось обезвредить за несколько дней до того, как она могла быть активирована. Главным объектом планировавшейся кибератаки была критическая инфраструктура Украины.

Вирус-самоуничтожитель

История разоблачения ботнета (сети зараженных устройств) началась в августе 2017 года, когда ФБР постучалось в дверь жительницы Питтсбурга. Агенты сказали, что ее домашний роутер управляется злоумышленниками, и женщина добровольно передала свое устройство властям для проверки, пишет американское издание The Daily Beast по судебным материалам.

Одновременно компания Cisco Talos проводила свое расследование. Как злоумышленники выбирали жертв, эксперты не выяснили, но смогли выстроить полную картину заражения.

На первом этапе в памяти роутера появляется так называемый дроппер - код, способный "пережить" перезагрузку устройства и скачивающий на него основной модуль вируса.

Основной модуль может выполнять команды злоумышленников, собирать файлы, фильтровать данные и управлять устройствами. Некоторые версии вируса содержат функции самоуничтожения и вывода роутера из строя.

Роутеры скачивали фотографии с популярного хранилища Photobucket. Внутри фотофайлов хранились скрытые данные, на первый взгляд - географические координаты. На деле, номера представляли собой сетевые адреса (IP), через которые злоумышленники управляли зараженными устройствами. IP были арендованы в разных странах мира - от Нидерландов до Саудовской Аравии.

В Cisco Talos назвали этот ботнет VPNFilter.

Роутеры под угрозой VPNFilter
Linksys E1200 Netgear DGN2200
Linksys E2500 Netgear R6400
Linksys WRVS4400N Netgear R7000
Mikrotik RouterOS (1016, 1036 и 1072) Netgear R8000
NAS QNAP с программным обеспечением QTS Netgear WNR1000
QNAP TS251 Netgear WNR2000
QNAP TS439 Pro TP-Link R600VPN

23 мая министерство юстиции США заявило, что ботнет создан хакерской группой Fancy Bear. Американские власти верят, что под маской "причудливого медведя" скрывается российская военная разведка, а именно Главное управление Генштаба Вооруженных сил России (ГРУ). Группа известна с середины 2000-х годов, в последние годы ее жертвами становились Бундестаг, комитет Демократической партии США, НАТО и французский телеканал TV5 Monde.

Копірайт зображення Screenshot - fancy bears
Image caption Fancy Bear обвиняют спортивных чиновников в фальсификации допингового дела против российских спортсменов

В Cisco Talos не ответили на вопрос Русской службы Би-би-си о связи VPNFilter с Fancy Bear, уточнив, что расследование продолжается.

"Владельцам устройств, которые могли быть заражены, необходимо незамедлительно перезагрузить их, чтобы устранить вредоносные программы", - говорится на сайте минюста США.

Нумерология нападений

О нейтрализации ботнета также отчиталась Служба безопасности Украины. В подготовке "очередного акта киберагрессии" СБУ также обвинила Россию. По версии украинских властей, ботнет создавался для дестабилизации ситуации во время финала Лиги чемпионов, который пройдет в Киеве 26 мая.

В пользу версии о российском следе говорят пересечения в коде VPNFilter с кибератакой BlackEnergy на украинские электростанции и энергетические компании в 2016 году, которая оставила без света 230 тыс. человек.

Дата этой кибератаки - 23 декабря - совпадает с официальным Днем штабных специальностей и войск специальной связи Украины. Именно эти силы должны были противостоять кибератаке.

Следующая крупная атака на украинскую инфраструктуру с помощью вируса Petya 27 июня 2017 года совпала с Днем конституции Украины.

Копірайт зображення Zuma / TASS
Image caption В СБУ считают, что с помощью ботнета российские хакеры собирались сорвать финал футбольной Лиги чемпионов

"Совпадения по времени с предыдущими кибератаками на Украину указывали на то, что новая атака может быть неизбежной, - заявили в Cisco Talos. - Учитывая этот факт, после консультаций с нашими пантерами мы решили сразу выйти на публику с результатами нашего исследования до его завершения".

Российские власти отрицают причастность к хакерским атакам. Пресс-секретарь президента России Дмитрий Песков заявил, что Россия не планировала хакерскую атаку на Украину и в этот раз.

VPNFilter с 500 тыс. ботов - далеко не самая большая сеть зараженных устройств. На пике распространения ботнета Bredolab, в конце 2000-х годов, в его подчинении находилось более 30 млн устройств. В компании Trend Micro считают, что Bredolab использовался для рассылки спама и также был создан в России.

Следите за нашими новостями в Twitter и Telegram

Новости по теме