Het Amerikaanse ministerie van Justitie zei woensdag dat het een internetdomein in beslag had genomen dat een gevaarlijk botnet van een half miljoen geïnfecteerde thuis- en kantoornetwerkrouters aanstuurde. gecontroleerd door hackers waarvan wordt aangenomen dat ze verband houden met de Russische inlichtingendienst.

De verhuizing was bedoeld om een ​​operatie te doorbreken die diep verankerd was in kleine en middelgrote computernetwerken, waardoor de hackers de controle over computers konden overnemen en gemakkelijk gegevens konden stelen.

Het ministerie van Justitie zei dat het "VPNFilter"-botnet is opgezet door een hackgroep die ook wel APT28 wordt genoemd. Pion Storm, Zandworm, Fancy Bear en de Sofacy Group.

De groep wordt beschuldigd van cyberaanvallen op tal van regeringen, belangrijke infrastructuursectoren zoals elektriciteitsnetten, de Organisatie voor Veiligheid en Samenwerking in Europa, het Wereldantidopingagentschap, en andere instanties.

Amerikaanse inlichtingendiensten zeggen ook dat het betrokken was bij de operatie om tijdens de Amerikaanse presidentsverkiezingen van 2016 schadelijke informatie over de Democratische Partij te hacken en vrij te geven. en heeft een aantal computernetwerkstoringen in Oekraïne veroorzaakt.

"Volgens cybersecurity-onderzoekers de Sofacy Group is een cyberspionagegroep die vermoedelijk afkomstig is uit Rusland, ', zei het ministerie van Justitie in een rechtbankdossier.

"Waarschijnlijk actief sinds 2007, het is bekend dat de groep zich doorgaans richt op de overheid, leger, veiligheidsorganisaties, en andere doelwitten van inlichtingenwaarde, via allerlei middelen, " het zei.

Het gerechtelijk dossier vermeldde niet wie er achter Sofacy Group zat, maar de Amerikaanse inlichtingendienst heeft het in het verleden in verband gebracht met de Russische militaire inlichtingendienst GRU, en talloze particuliere computerbeveiligingsgroepen hebben dezelfde verbinding gemaakt.

In de actie van woensdag, het ministerie van Justitie zei dat het een bevel had gekregen dat de FBI machtigde om beslag te leggen op een computerdomein dat deel uitmaakt van het commando- en controlesysteem van het VPNFilter-botnet.

Het botnet richt zich op thuis- en kantoorrouters, waardoor het orders van de controllers van het botnet kan doorgeven en het verkeer naar hen kan onderscheppen en omleiden, vrijwel onopgemerkt door de gebruikers van een netwerk.

In een rapport dat parallel aan de aankondiging van Justitie werd uitgebracht, netwerkapparatuurgigant Cisco zei dat VPNFilter minstens 500 had geïnfecteerd, 000 apparaten in ten minste 54 landen.

Het heeft zich gericht op populaire routermerken zoals Linksys, MikroTik, NETGEAR en TP Link.

"Het gedrag van deze malware op netwerkapparatuur is bijzonder zorgwekkend, omdat componenten van de VPNFilter-malware diefstal van website-inloggegevens mogelijk maken, ' zei Cisco.

Het heeft ook "een destructief vermogen dat een geïnfecteerd apparaat onbruikbaar kan maken, die kan worden geactiveerd op individuele slachtoffermachines of massaal."

Zowel Justice als Cisco zeiden dat ze details van het probleem naar buiten brachten voordat ze een sterk, permanente oplossing. Justitie zei dat door de controle te nemen over een van de domeinen die betrokken zijn bij het runnen van VNPFilter, het geeft eigenaren van geïnfecteerde routers een kans om ze opnieuw op te starten, hen dwingen om te gaan communiceren met het nu geneutraliseerde commandodomein.

De kwetsbaarheid blijft, Justitie zei, maar door de verhuizing hebben ze meer tijd om andere delen van het netwerk te identificeren en in te grijpen.

© 2018 AFP