» »

FBI na daljavo vdrl v usmerjevalnike in pobrisal ruski malware

FBI na daljavo vdrl v usmerjevalnike in pobrisal ruski malware

Slo-Tech - Več kot tisoč brezžičnih usmerjevalnikov Ubiquiti v ZDA je bilo okuženih rusko zlonamerno programsko opremo, da so delovali kot usklajeni botnet za hekersko skupino Fancy Bear. Usmerjevalniki z operacijskim sistemom EdgeOS, ki so uporabljali tovarniško geslo za administrativni dostop, so bili lahka tarča za Fancy Bear, da je nanj naložila malware Moobot. To pa je bila tudi pot do njihovega očiščenja.

Tajna sodna odredba je FBI-ju omogočila čiščenje usmerjevalnikov, zato so izvedil operacijo Dying Ember. V tej operaciji je FBI uporabil Moobot, da je pridobil dostop do usmerjevalnikov in pobrisal zlonamerno programsko opremo. Da bi preprečili ponovno okužbo, dokler lastniki niso sprejeli ustrezni ukrepov, je FBI spremenil pravila za blokade v usmerjevalniku (firewall rules) in blokiral oddaljeno upravljanje. Med posegom so zbirali tudi prometne informacije, s čimer se preverjali, da Fancy Bear ni motil postopka.

FBI je torej vdrl v usmerjevalnike domačih in malih poslovnih uporabnikov in jih z izrabo varnostne luknje očistil. To so počeli s sodno odredbo, torej je praksa zakonita, a vendarle nenavadna. Ob tem poudarjajo, da v nobenem trenutku niso motili delovanja usmerjevalnikov ali zbirali vsebinskih podatkov o legitimnem prometu. Dosegli pa so tvoje, so še dodali: onesposobili so tako državne hekerje (Fancy Bear) kakor kriminalne združbe (ki so tudi uporabljali Moobot).

57 komentarjev

«
1
2

xseki ::

Super, koristno delo s strani FBI:)

miko22 ::

Pa to ne moreš verjet. Če to delajo rusi so grdi, če pa to dela FBI pa je vse lepo in prav, da so na tvojem routerju pa delajo kaj hočejo.
Ne bi raje uporabnike obvestili, da imajo malvare pa jim dajo možnost čiščenja? Ne, ZDA kar pride in naredi...vse v tvoje dobro.

darkotri ::

Torej, so shekali tvoj router za tvoje dobro in namestili svoj malware za tvoje dobro.
Nič novega.
darko

s1m0n ::

Potrebne so denarne kazni za uporabnike tovarniških gesel :) Ah kar pobrat jim vso elektroniko bo bolj varno!

Zgodovina sprememb…

  • spremenil: s1m0n ()

WhiteAngel ::

miko22 je izjavil:

Pa to ne moreš verjet. Če to delajo rusi so grdi, če pa to dela FBI pa je vse lepo in prav, da so na tvojem routerju pa delajo kaj hočejo.
Ne bi raje uporabnike obvestili, da imajo malvare pa jim dajo možnost čiščenja? Ne, ZDA kar pride in naredi...vse v tvoje dobro.


Sodišče je presodilo, da to ni pretiran ukrep. Verjetno so igrali na karte nacionalne varnosti, kar je tudi res...

karafeka ::

Mene pa zanima na kake načine lahko sam ugotoviš, da imaš nek malware na routerju?

mn ::

miko22 je izjavil:

Pa to ne moreš verjet. Če to delajo rusi so grdi, če pa to dela FBI pa je vse lepo in prav, da so na tvojem routerju pa delajo kaj hočejo.
Ne bi raje uporabnike obvestili, da imajo malvare pa jim dajo možnost čiščenja? Ne, ZDA kar pride in naredi...vse v tvoje dobro.


No pri nas recimo bi te izklopili iz interneta in ne spustili nazaj gor dokler ne zrihtaš.

mtosev ::

Super, da je FBI izvedel tole akcijo in pobrisal malware z ruterjev.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

twom ::

Nebi pričakoval od hekerjev, da so tolk butasti, da niso spremenili passwordov. No, sej bojo pa od sedaj v kodo vgardili še to malenkost.

LeQuack ::

A backdoor za svoj dostop so pustili odprt najbrž?
Quack !

brbr21 ::

Evo za otroke gre.... backdoor rešuje življenja! :|

Gregor P ::

Pač spremniš tovarniško geslo in ti "zlobni" Američani ne morejo vdreti kar tako v tvoj usmerjevalnik. Pustimo ob strani dejstvo, da bi to moral narediti tako ali tako. :D
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Poldi112 ::

darkotri je izjavil:

Torej, so shekali tvoj router za tvoje dobro in namestili svoj malware za tvoje dobro.
Nič novega.


Dvomim, da so namestili svoj malware - imajo FISA in s tem eleganten dostop do praktično vsega, kar jih zanima.

Napravo uporabnika hekaš, ko je to dejansko potrebno. Zakaj bi skrivna orodja nameščal tja, kjer ni potrebno in jih s tem zgolj izpostavljal raziskovalcem, da jih najdejo in onesposobijo?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

Tene ::

Se pravi eni hekerji so nadmudrili druge:)

Lonsarg ::

Dobra fora, hack the hackers :)

Itak pa tle druge šansa ni blo, če bi zgolj obveščali bi posodabljanje/čiščenje bilo precej počasno in bi originalni hackerje prej ko slej ugotovili in posodobili zadevo in bi mnoge naprave ostale compromised.

Ok lahko bi v teoriji preko internetnih podnunikov vse te uporabnike fizično izklopili iz interneta dokler ne porihtajo, ampak to bi šele bile pritožbe :)

Zgodovina sprememb…

  • spremenil: Lonsarg ()

celje ::

kako pa so vedeli kateri so okuzeni? po kakem postopku so jih odkrili?

Jure14 ::

celje je izjavil:

kako pa so vedeli kateri so okuzeni? po kakem postopku so jih odkrili?

Pa saj redno preverjajo vse ruterje.

Rias Gremory ::

Napaka v zadnjem odstavku
Dosegli pa so tvoje
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

sbawe64 ::

Iz 2023
Tukaj so naredili analizo malware Moobot, kjer so prišli do zaključka, da gre za delo portugalskih Rusov
Figure 13
The file is written in Portuguese


https://www.fortinet.com/blog/threat-re...

Če ima usmerjevalnik privzeto tovarniško geslo, potem lahko do njega pridobi dostop tudi mehiški RusTM (ali albanski).

Iz novice:
za z Moobot malware okužene usmerjevalnike je fbi uporabil taisti malware, da je pridobil dostop do naprav in pobrisal taisti malware (v časih irc-a se je temu reklo takeover kanala) ?? A potem so albanski Rusi spremenili gesla, da je fbi prišel noter samo preko cve exploitov ?



WhiteAngel je izjavil:

miko22 je izjavil:

Pa to ne moreš verjet. Če to delajo rusi so grdi, če pa to dela FBI pa je vse lepo in prav, da so na tvojem routerju pa delajo kaj hočejo.
Ne bi raje uporabnike obvestili, da imajo malvare pa jim dajo možnost čiščenja? Ne, ZDA kar pride in naredi...vse v tvoje dobro.


Sodišče je presodilo, da to ni pretiran ukrep. Verjetno so igrali na karte nacionalne varnosti, kar je tudi res...

Fisa tajno sodišče je že katero prošnjo za odredbo zavrnilo ?
Aja ne vemo, je tajno.


Jure14
Kdo preverja kaj in kako ?
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

sbawe64 ::

Kot kaže so tile cve kar razširjeni, iz 2022 d-link, moobot
https://thehackernews.com/2022/09/mirai...

Realtek, cacti 2023
https://www.bleepingcomputer.com/news/s...

Hikvision kamere, 2021
https://www.securityweek.com/moobot-bot...
2020 is new 1984
Corona World order

Zgodovina sprememb…

  • spremenilo: sbawe64 ()

delavec44 ::

Kaj ni ruter dostopen le iz lokalnega omrežja?

sbawe64 ::

Ti so očitno bili dostopni preko neta (wan-a).
2020 is new 1984
Corona World order

crystal ::

ubiquiti kupis samo zato ker je lep bel in ni motec s strlecimi antenami. software je pa polomija na^2

slitkx ::

xseki je izjavil:

Super, koristno delo s strani FBI:)

Vdor ni koristno delo. Če bi želeli korist, bi objavili popravek in navodilo za odstranitev.

Jarno ::

Ne tako hitro. Parazitski botnet je delal štalo drugod, ne pa svojem primarnem gostitelju.
Common sense na delu, tisti brez njega pač ne razumejo.
#65W!

OutOfTheBox ::

Če bi želeli korist, bi objavili popravek in navodilo za odstranitev.


Sej veš da imaš opravka z ljudmi, ki niso niti sposobni spremenit default gesla?

Furbo ::

Saj to ni prvič, da se je naredilo nekaj takega, ne vem kaj se vsi tako vznemirjate.
i5-13600K, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO, Toughpower GF3 1000W
RTX3070, ALIENWARE AW3821DW, DELL U3014

AgJ1 ::

mtosev je izjavil:

Super, da je FBI izvedel tole akcijo in pobrisal malware z ruterjev.

Točno to. Naredili so to, kar je bilo treba narediti.

FrRoSt ::

Kako je že bilo naslov tistemu (ameriškemu) domentarcu žvižgačice!??

Kibernetska vojna ali vojna na internetu!?? :))
Noben človek ni otok, popolnoma sam zase; smrt slehernega človeka vzame
del mene, ker pripadam človeški vrsti; in zato nikdar ne pošiljaj poizvedovat,
komu zvoni; zvoni tebi.

korenje3 ::

miko22 je izjavil:

Pa to ne moreš verjet. Če to delajo rusi so grdi, če pa to dela FBI pa je vse lepo in prav, da so na tvojem routerju pa delajo kaj hočejo.
Ne bi raje uporabnike obvestili, da imajo malvare pa jim dajo možnost čiščenja? Ne, ZDA kar pride in naredi...vse v tvoje dobro.


"če to delajo rusi".
za enkrat je to fiktivni malware, prav tako je fiktivno, da stojijo rusi za tem.
i9-12900k; 32GB DDR5-6000 CL36; Nvidia RTX 3080 ti;
Gigabyte Aorus z690 master; Be Quiet Dark Power 12 1000W

jeremenen ::

Zanimivo, da jim je to "lažje" kot po pošti obvestit lastnike z navodili.

AgJ1 ::

jeremenen je izjavil:

Zanimivo, da jim je to "lažje" kot po pošti obvestit lastnike z navodili.

Sej, tudi ko hiša zagori, gasilci pošljejo navodila za gašenje po pošti…

mihec87 ::

AgJ1 je izjavil:

jeremenen je izjavil:

Zanimivo, da jim je to "lažje" kot po pošti obvestit lastnike z navodili.

Sej, tudi ko hiša zagori, gasilci pošljejo navodila za gašenje po pošti…



Hišo fizično bolj teško sam pogasiš kljub navodilom...Medtem ko nastavit geslo ipd.. na routerju, pa po navodilih lahko...

Eni slišite Rusi in bi dovolili Amerom da z vami počnejo malodane vse....

Zgodovina sprememb…

  • spremenil: mihec87 ()

Lonsarg ::

Če bi zgolj poslali email bi večina teh naprav ostala v botnetu, taka je realnost, kje bo laik odstranjeval malware iz usmerjevalnikov. Pa tudi upravljalci botneta bi to slej ko prej izvedeli in bi potencialno lahko potihem poslali novo verzijo botneta ki bi bila imuna na postopek odstranjevanja in bi bila štala.

To je varnostno kritična zadeva, botnet moraš sesuti v roku minut ali pa upravljalci ugotovijo da jih sesuvaš in začnejo kontro delat.

Vi bi emaile pošiljal lol. Edina realna alternativa kontra-vdoru ki so ga naredili bi bil masovni izklop teh naprav iz interneta (potencialno bi določene cele firme ruknili dol, tudi če je samo vmes kak posamezni usmerjevalnik bil okužen).

Zgodovina sprememb…

  • spremenil: Lonsarg ()

mihec87 ::

Če je firma ki ima usmerjevalnik z default geslom, potem tako bolje da jih ruknejo dol...

Zgodovina sprememb…

  • spremenil: mihec87 ()

k4vz0024 ::

Komi pristop...mi že vemo kaj je najbolje za družbo!8-)

starfotr ::

Kako je lahko sodba tajna? In sedaj je kar javno povedano kaj so naredili?

To smrdi na kilometre.

Seveda imajo ameri dostop do vsega. Tudi brez poznavanja te ranljivosti s privzetimi gesli.

Lonsarg ::

Če tajne agencije delajo bedarije še ne pomeni da je vse kar delajo bedarija.

In uničevanje botnetov vsekakor ni bedarija, ponavadi so razpršeni po celem planetu in bi kak koordiniran izklop teh okuženih naprav iz interneta bil politično neizvedljiv.

Zgodovina sprememb…

  • spremenil: Lonsarg ()

starfotr ::

Saj ni bedarija, da so izklopili botnet.

Ampak je pa treba vedet, da imajo dostop do vsega v vsakem trenutku.

In vsega ne ugasnejo. Ker potem ne bi njihova industrija prodala nič varnostnih zadev. Vedno mora biti določena stopnja nevarnosti. To je dobro za posel.

7982884e ::

miko22 je izjavil:

Pa to ne moreš verjet. Če to delajo rusi so grdi, če pa to dela FBI pa je vse lepo in prav, da so na tvojem routerju pa delajo kaj hočejo.
Ne bi raje uporabnike obvestili, da imajo malvare pa jim dajo možnost čiščenja? Ne, ZDA kar pride in naredi...vse v tvoje dobro.

tipicen rusofil, ki joka, da FBI lahko pobrise to kar rusi naserjejo.
rusi naserjejo malware? cricki.
FBI pobrisejo? ZAKAJ LAHKO? TO POSEGA V MOJE SVOBOSCINE? KAJ PA IRAK? KAJ PA SRBIJA 1999?

Gregor P ::

... al pa če bi samo sam spremenil geslo in končno nehal jokat in igrat vlogo žrtve:D
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

Poldi112 ::

7982884e je izjavil:

miko22 je izjavil:

Pa to ne moreš verjet. Če to delajo rusi so grdi, če pa to dela FBI pa je vse lepo in prav, da so na tvojem routerju pa delajo kaj hočejo.
Ne bi raje uporabnike obvestili, da imajo malvare pa jim dajo možnost čiščenja? Ne, ZDA kar pride in naredi...vse v tvoje dobro.

tipicen rusofil, ki joka, da FBI lahko pobrise to kar rusi naserjejo.
rusi naserjejo malware? cricki.
FBI pobrisejo? ZAKAJ LAHKO? TO POSEGA V MOJE SVOBOSCINE? KAJ PA IRAK? KAJ PA SRBIJA 1999?


Kolega, a se vam tudi v spanju prikazujejo rusi?
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

bbf ::

Vse mašine na WANu z default gesli za remote dostop bi blo treba zabrikat ASAP! Naj se uzer zaveda, da je default geslo isto, kot ključ puščen v avtu sred ulce.

mtosev ::

Pri mojem Asus routerju ni default gesla. Ko ga prvič zaženeš dobiš prompt, da ustvariš geslo.
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

Machete ::

miko22 je izjavil:

Pa to ne moreš verjet. Če to delajo rusi so grdi, če pa to dela FBI pa je vse lepo in prav, da so na tvojem routerju pa delajo kaj hočejo.
Ne bi raje uporabnike obvestili, da imajo malvare pa jim dajo možnost čiščenja? Ne, ZDA kar pride in naredi...vse v tvoje dobro.


Lahko si idealist, lahko pa vseeno 'pripadnostno' izbereš kdo je bolje da ti šari. Iran, Kitajska, Rusija ali FBI.
Jaz vem kdo je to, ker bi izbiral glede na to kakšno življenje ti nudi država za to agencijo, ne pa kako bi moralo biti v idealnem svetu.
LC1000|Asrock-H470PG|i7-10700K|2x16GB|RTX-3080 EAGLE|W10Pro
new Nintendo 2DS & 3DS XL|Galaxy S24+

jeremenen ::

AgJ1 je izjavil:

jeremenen je izjavil:

Zanimivo, da jim je to "lažje" kot po pošti obvestit lastnike z navodili.

Sej, tudi ko hiša zagori, gasilci pošljejo navodila za gašenje po pošti…

Če imaš v hiši kratki stik (ki ga elektro podjetje recimo lahko opazi z nihanjem, ki ga izmeri njihov pametni števec, recimo), a je bolje, da pošljejo električarja, ki ti vdre v hišo in reši problem ali je boljše, da ti izklopijo elektriko (v tem primeru, bi ISP dobil nalogo, da ti neha ponujat storitev, dokler tega ne rešiš)? Mislim, da bi večina želela drugo možnost. In prideš domov in net ne dela. Halo ISP, net ne dela. A zato. Kako pa to rešim, ker se ne spoznam? Aha, me boste vodili.

Poldi112 ::

Slaba primerjava. Kratek stik v bajti namreč ne širi kratkih stikov po hišah ostalih uporabnikov.
Da ne omenjamo, da ti kratek stik rešuje že varovalka.

Edino pravilno je, da se okužene naprave nevtralizira. Bi te pa tudi rad videl, kako razlagaš eni stari mami, kako sanirat okuženo napravo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

nokken ::

Saj po eni strani je ze cool, sploh glede na kolicino tega srota (pa izvor niti ni pomemben), ampak kje je potem meja "dovoljenega". Je dovoljeno vdreti v router (ali racunalnik) samo ce je lastnih botneta (mogoce) ruska "organizacija", ali je dovoljeno recimo formatirati racunalnik (jebes podatke) vsakemu, ki ima gor virus ali posilja spam? Ali pa ce zgolj gre na nedovoljeno online stavnico.

Poldi112 ::

Nima veze, kdo je lastnik botneta.

Če je dovoljeno tudi formatirati podatke, je pa vprašanje za sodnika. Osebno menim, da za to ni nobene potrebe - vedno lahko ISP-ju rečejo, da onemogoči naročnika z okuženo napravo.
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

FBI na daljavo vdrl v usmerjevalnike in pobrisal ruski malware (strani: 1 2 )

Oddelek: Novice / Varnost
5715341 (3077) Mr.B
»

Odkrit prvi rootkit za UEFI

Oddelek: Novice / Varnost
186655 (4481) atepej
»

Microsoft: jesenske volitve v ZDA bodo spet varnostni izziv

Oddelek: Novice / Varnost
134595 (3404) bbf
»

Odkrita zlonamerna koda v usmerjevalnikih (strani: 1 2 )

Oddelek: Novice / Varnost
6739491 (21523) AC_DC
»

FBI prenehal uporabljati Carnivore

Oddelek: Novice / Zasebnost
163875 (3184) Jst

Več podobnih tem