يستحوذ مكتب التحقيقات الفيدرالي على السيطرة على الروبوتات الضخمة التي أصابت أكثر من 500000 جهاز توجيه

بعد وقت قصير من إصدار شركة سيسكو لتقريرها المبكر حول حملة قرصنة واسعة النطاق أدت إلى إصابة ما يزيد عن نصف مليون جهاز توجيه وأجهزة تخزين شبكة في جميع أنحاء العالم ، أعلنت حكومة الولايات المتحدة عن الإزالة لنطاق الإنترنت الرئيسي المستخدم في الهجوم. 

بالأمس أبلغنا عن قطعة من البرمجيات الخبيثة بشبكة الإنترنت (IoT) المتطورة للغاية التي تصيب أكثر من 500000 جهاز  في 54 دولة ، ومن المحتمل أن تكون قد صُممت من قبل المجموعة التي ترعاها الحكومة الروسية في جهد ممكن لإحداث فوضى في أوكرانيا ، وفقًا لتقرير سابقنشرته شركة سيسكو وحدة الاستخبارات الفضائية تالوس يوم الاربعاء.

تعتبر هذه البرامج الضارة ، التي أطلق عليها باحثو تالوس ، برنامجًا متعدد المراحل ، يستهدف أجهزة التوجيه والأجهزة المنزلية الصغيرة (SOHO) وأجهزة التخزين من Linksys و MikroTik و NETGEAR و TP-Link ، بالإضافة إلى وحدة تخزين الوصول إلى الشبكة ( أجهزة NAS). 

وفي الوقت نفسه ، فإن وثائق المحكمة التي تم الكشف عنها في بيتسبيرج في نفس اليوم تشير إلى أن مكتب التحقيقات الفيدرالي قد استولى على مجال رئيسي على شبكة الإنترنت يتواصل مع شبكة بوتات عالمية ضخمة تضم مئات الآلاف من أجهزة التوجيه SOHO المصابة وأجهزة NAS الأخرى. 

وقالت وثائق المحكمة إن مجموعة القرصنة التي تقف وراء حملة البرامج الضخمة الضخمة هي  Fancy Bear ، وهي مجموعة قرصنة متحالفة من الحكومة الروسية وتعرف أيضًا باسم APT28 ، و Sofacy ، و X-agent ، و Sednit ، و Sandworm ، والبيدق العاصفة . 

تعمل مجموعة القرصنة منذ عام 2007 على الأقل ، وقد تم تسجيلها في قائمة طويلة من الهجمات على مدار السنوات الماضية ، بما في ذلك اختراق اللجنة الوطنية للحزب الديمقراطي (الديمقراطي) عام 2016 وحملة كلينتون للتأثير على الانتخابات الرئاسية الأمريكية.

"هذه العملية هي الخطوة الأولى في تعطيل الروبوتات التي توفر لممثلي Sofacy مجموعة من القدرات التي يمكن استخدامها لمجموعة متنوعة من الأغراض الضارة ، بما في ذلك جمع المعلومات ، سرقة المعلومات القيمة ، والهجمات المدمرة أو التخريبية ، و وقال جون ديميرس مساعد المدعي العام لشؤون الامن القومي في بيان " سوء تسكين مثل هذه الانشطة ."

وجد باحثو تالوس ، من بين آخرين ، دليلاً على أن شفرة مصدر VPNFilter تشترك مع إصدارات BlackEnergy - البرامج الضارة المسؤولة عن هجمات متعددة واسعة النطاق تستهدف الأجهزة في أوكرانيا التي تنسبها الحكومة الأمريكية إلى روسيا. 

تم تصميم VPNFilter بطريقة يمكن استخدامها لإجراء مراقبة سرية على أهدافه وجمع المعلومات ، والتدخل في اتصالات الإنترنت ، ومراقبة التحكم الصناعي أو أنظمة SCADA ، مثل تلك المستخدمة في الشبكات الكهربائية والبنية التحتية والمصانع الأخرى ، وكذلك كعمليات مدمرة للعمليات السيبرانية.

يسمح الاستيلاء على النطاق الذي يعد جزءًا من البنية التحتية للتحكم في VPNFilter لمكتب التحقيقات الفيدرالي (FBI) بإعادة توجيه محاولات المرحلة الأولى من البرامج الضارة (في محاولة لإغلاق الجهاز) إلى خادم يتم التحكم فيه من قِبل مكتب التحقيقات الفيدرالي (FBI) ، والذي سيسجل عنوان IP من الأجهزة المصابة ونقلها إلى السلطات في جميع أنحاء العالم الذين يمكنهم إزالة البرامج الضارة. 

يُنصح مستخدمي أجهزة SOHO و NAS المصابة بـ VPNFilter بإعادة تشغيل أجهزتهم في أقرب وقت ممكن ، مما يزيل البرامج الضارة غير الثابتة في المرحلة الثانية ، مما يتسبب في استمرار البرامج الضارة في المرحلة الأولى على الجهاز المصاب بالعدوى لاستدعاء الإرشادات.

"على الرغم من أن الأجهزة ستظل عرضة للإصابة مرة أخرى مع البرامج الضارة للمرحلة الثانية أثناء الاتصال بالإنترنت ، إلا أن هذه الجهود تزيد الفرص إلى أقصى حد ممكن لتحديد وعلاج العدوى في جميع أنحاء العالم في الوقت المتاح قبل أن يتعرف ممثلو Sofess على ضعفهم في البنية التحتية للقيادة والتحكم ، "قالت وزارة العدل.

نظرًا لأن VPNFilter لا يستغل أي ثغرات يوم الصفر لإصابة ضحاياه وبدلاً من ذلك يبحث عن الأجهزة التي لا تزال معرضة لنقاط ضعف معروفة أو وجود بيانات اعتماد افتراضية ، يوصى بشدة المستخدمين بتغيير بيانات الاعتماد الافتراضية لأجهزتهم لمنع البرامج الضارة. 

علاوة على ذلك ، قم دائمًا بوضع أجهزة التوجيه الخاصة بك خلف جدار حماية ، وقم بإيقاف الإدارة عن بُعد إلى أن ما لم تكن بحاجة إليها فعلاً. 

إذا كان جهاز التوجيه الخاص بك بشكل افتراضي ضعيفًا ولا يمكن تحديثه ، فقد حان الوقت لشراء جهاز جديد. يجب أن تكون أكثر يقظة بشأن أمان أجهزة IoT الذكية الخاصة بك.