ФБР провело операцию по уничтожению ботнета, контролируемого российской разведкой

Федеральное бюро расследований сообщило, что в марте оно провело операцию по уничтожению крупного ботнета, контролируемого российской разведкой.

Операция была санкционирована судами в Калифорнии и Пенсильвании, что позволило ФБР скопировать и удалить так называемое вредоносное ПО Cyclops Blink со своих серверов управления и контроля, также известных как C2. Это позволило ФБР разорвать соединения с тысячами скомпрометированных зараженных устройств. которые получали инструкции от серверов.

Министерство юстиции США объявило о мартовской операции в среду , охарактеризовав ее как «успешную», но предупредило, что владельцы устройств все равно должны ознакомиться с первоначальным отчетом от 23 февраля, чтобы защитить свои скомпрометированные устройства и предотвратить повторное заражение.

Министерство юстиции США также заявило, что с тех пор, как в феврале впервые появились новости о растущей угрозе Cyclops Blink, владельцы защитили тысячи скомпрометированных устройств, но это оправдало операцию по решению суда, поскольку «большинство» зараженных устройств были скомпрометированы всего за несколько недель.

Cyclops Blink считается преемником VPNFilter, ботнета, которым в значительной степени пренебрегли после того, как он был разоблачен исследователями безопасности в 2018 году, а затем стал мишенью правительственной операции США по нарушению работы его серверов управления и контроля. И Cyclops Blink, и VPNFilter являются "творчеством" Sandworm, группе хакеров, работающих на российское ГРУ, подразделении военной разведки страны-агрессора.

Согласно Министерству юстиции, постановление суда имело «молниеносный эффект", предотвратив доступ Sandworm к устройствам C2, тем самым нарушив контроль Sandworm над зараженными бот-устройствами, контролируемыми восстановленными C2». «Операция не включала никакой коммуникации ФБР с бот-устройствами», — заявили в Министерстве юстиции США.

Власти США не строили догадок о целях ботнета Cyclops Blink, но исследователи безопасности говорят, что ботнет способен собирать информацию и вести шпионаж, запускать распределенные атаки типа «отказ в обслуживании», которые перегружают веб-сайты и серверы нежелательным трафиком, а также генерировать разрушительные атаки, которые выводят устройства из строя и вызывают сбои в работе системы и сети.

Sandworm особенно известен тем, что на протяжении многих лет запускал подрывные хакерские атаки, включая отключение украинской электросети, использование вредоносного ПО для попытки взорвать нефтехимический завод в Саудовской Аравии, а совсем недавно — развертывание деструктивного вайпера, нацеленного на спутниковую сеть Viasat над Украиной и Европой.

Джон Халтквист, вице-президент по анализу разведданных в Mandiant, заявил в ответ на операцию ФБР: Sandworm — главное средство российской кибератаки и один из ключевых игроков, которые нас больше всего беспокоят в свете вторжения в Украину. Мы обеспокоены тем, что они могут быть использованы для поражения целей в Украине, но мы также обеспокоены тем, что они могут поразить и цели на Западе в отместку за давление, оказываемое на россию.

В апреле прошлого года ФБР начало первую в своем роде операцию по копированию и удалению бэкдора, оставленного китайскими шпионами, которые массово взломали тысячи уязвимых серверов Exchange, чтобы украсть списки контактов и взломать электронную почту.

По материалам: Techcrunch