Iz Rusije s ljubavlju: Ruski sajber špijuni ponovo grade bot mrežu VPNFilter

Vesti, 04.06.2018, 01:00 AM

Priča o bot mreži VPNFilter koju su sagradili ruski sajber špijuni, i koja je sadržala više od inficiranih 500000 rutera, a nad kojom je FBI preuzeo kontrolu pre desetak dana, nije završena, pokazuju telemetrijski podaci prikupljeni prošle nedelje.

Istraživači iz JASK-a i GreyNoise Intelligence otkrili su u petak da oni koji su odgovorni za nastanak bot mreže VPNFilter sada pokušavaju da kompromituju nove rutere i da izgrade novu bot mrežu VPNFilter.

To što su napadači fokusirani na rutere u Ukrajini nije iznenađenje za istraživače. Prva verzija botneta VPNFilter inficirala je više od 500000 rutera i NAS uređaja širom sveta, ali od 8. maja botnet je počeo da traži ukrajinske rutere.

Štaviše, stara VPNFilter bot mreža je imala komandno-kontrolni server koji je upravljao samo ukrajinskim uređajima, odvojeno od glavne bot mreže.

U vreme kada je javnost saznala za ovu bot mrežu, istraživači su verovali da iza nje stoji zloglasna ruska jedinica za sajber špijunažu APT28 i da ona priprema napad na IT infrastrukturu Ukrajine pre završetka finala Lige šampiona održanog 26. maja.

Ubrzo nakon što su istraživači Cisco Talosa otkrili postojanje bot mreže, FBI je krenuo u akciju i preuzeo domen koji se koristio za komandno-kontrolnu infrastrukturu bot mreže, i tako praktično preuzeo čitavu bot mrežu.

Međutim, čini se da to nije zbunilo APT28 i da sada traži nove uređaje koje će kompromitovati, a možda i da ovog puta izvrši planirani napad.

VPNFilter malver smatra se jednim od najnaprednijih IoT malvera. Malver se sastoji od tri komponente - payload prve faze treba da obezbedi opstanak na sistemu i da "preživi" restartovanje, komponenta druge faze je nešto kao trojanac za daljinski pristup (RAT), dok su komponente treće faze pluginovi za ovaj RAT, koji malveru obezbeđuju dodatnu funkcionalnost.

Većina karakteristika ovog malvera potvrđuje inicijalnu procenu FBI-a da iza njega stoji grupa koja deluje pod pokroviteljstvom države.

U izveštaju estonska obavještajne službe tvrdi se da je APT28 jedinica Uprave glavne obavještajne službe ruske vojske.

Ova grupa je odgovorna i za nekoliko sajber napada u Ukrajini u prošlosti, kao što je epidemija ransomwarea NotPetya i BlackEnergy napadi na električnu mrežu Ukrajine 2015. i 2016. godine.

Ukrajina je bila cilj mnogih sajber napada u proteklih nekoliko godina od početka rata sa proruskim pobunjenicima 2014. godine, kao što su incidenti BlackEnergy, NotPetya, Bad Rabbit i PSCrypt.