Кибервойна

ФБР отключило роутеры от китайского ботнета

Интересный с практической и юридической точки зрения пример борьбы с киберугрозами. Минюст США рассказал о недавно проведённой операции по нарушению работы ботнета, который якобы использовали прогосударственные китайские хакеры. Группа, которую Microsoft обозначила как Volt Typhoon, оказалась в центре внимания в мае прошлого года, когда про неё написали американские госорганы и команда Microsoft. Утверждалось, что Volt Typhoon собирает информацию о критической и военной инфраструктуре США и Гуама и якобы это может впоследствии быть использовано для выведения её из строя в нужный момент.

Согласно информации Минюста США, для сокрытия следов хакеры использовали ботнет, состоящий из домашних роутеров (SOHO), заражённых вредоносом KV Botnet. Большинство заражённых роутеров были устаревшими моделями от Cisco и NetGear, для которых больше не выпускались обновления. Суть операции, на которую дал разрешение суд, состояла в принудительном удалении с заражённых роутеров вредоносной программы, а также блокировке коммуникаций с другими устройствами, с помощью которых осуществлялось управление ботнетом.

«Как говорится в судебных документах, правительство тщательно протестировала операцию на соответствующих роутерах Cisco и NetGear. Операция не повлияла на законные функции взломанных роутеров и не привела к сбору контентной информации с них. Кроме того, санкционированные судом меры по отключению роутеров от ботнета KV и предотвращению повторного заражения носят временный характер. Владелец роутера может отменить эти меры, перезапустив устройство. Однако перезапуск, не сопровождаемый мерами по снижению риска, аналогичными тем, которые были приняты по решению суда, сделает роутер уязвимым для повторного заражения.

ФБР направляет уведомление о санкционированной судом операции всем владельцам или операторам SOHO-роутеров, которые были заражены вредоносной программой KV Botnet и к которым был получен удаленный доступ в ходе операции. Для тех жертв, чья контактная информация не была доступна в открытом доступе, ФБР связалось с провайдерами (например, с интернет-провайдером жертвы) и попросило их уведомить жертв».

К пресс-релизу приложены четыре документа о получении ордера на проведение такой операции, из которых можно узнать дополнительные детали, а также как юридически было обосновано такое принудительное обновление.

www.justice.gov

U.S. Government Disrupts Botnet People’s Republic of China Used to

www.group-telegram.com/sa/cyberguerre.com/1737

1.6K viewsedited  Jan 31 at 20:02

ФБР отключило роутеры от китайского ботнета

Интересный с практической и юридической точки зрения пример борьбы с киберугрозами. Минюст США рассказал о недавно проведённой операции по нарушению работы ботнета, который якобы использовали прогосударственные китайские хакеры. Группа, которую Microsoft обозначила как Volt Typhoon, оказалась в центре внимания в мае прошлого года, когда про неё написали американские госорганы и команда Microsoft. Утверждалось, что Volt Typhoon собирает информацию о критической и военной инфраструктуре США и Гуама и якобы это может впоследствии быть использовано для выведения её из строя в нужный момент.

Согласно информации Минюста США, для сокрытия следов хакеры использовали ботнет, состоящий из домашних роутеров (SOHO), заражённых вредоносом KV Botnet. Большинство заражённых роутеров были устаревшими моделями от Cisco и NetGear, для которых больше не выпускались обновления. Суть операции, на которую дал разрешение суд, состояла в принудительном удалении с заражённых роутеров вредоносной программы, а также блокировке коммуникаций с другими устройствами, с помощью которых осуществлялось управление ботнетом.

«Как говорится в судебных документах, правительство тщательно протестировала операцию на соответствующих роутерах Cisco и NetGear. Операция не повлияла на законные функции взломанных роутеров и не привела к сбору контентной информации с них. Кроме того, санкционированные судом меры по отключению роутеров от ботнета KV и предотвращению повторного заражения носят временный характер. Владелец роутера может отменить эти меры, перезапустив устройство. Однако перезапуск, не сопровождаемый мерами по снижению риска, аналогичными тем, которые были приняты по решению суда, сделает роутер уязвимым для повторного заражения.

ФБР направляет уведомление о санкционированной судом операции всем владельцам или операторам SOHO-роутеров, которые были заражены вредоносной программой KV Botnet и к которым был получен удаленный доступ в ходе операции. Для тех жертв, чья контактная информация не была доступна в открытом доступе, ФБР связалось с провайдерами (например, с интернет-провайдером жертвы) и попросило их уведомить жертв».

К пресс-релизу приложены четыре документа о получении ордера на проведение такой операции, из которых можно узнать дополнительные детали, а также как юридически было обосновано такое принудительное обновление.

BY Кибервойна