ФБР отчиталась о захвате домена, связанного с ботнетом из 500 000 зараженных маршрутизаторов по всему миру. По данным Министерства Юстиции, домен находится под контролем российской хакерской группы, известной под названиями «Fancy Bear», «Sednit», «Pawn Storm», или «Sofacy». Власти обвиняли именно эту группу во вмешательстве в последние президентские выборы США в 2016 году.
Хакеры используют вредоносный софт «VPN Filter» для эксплуатации уязвимостей в маршрутизаторах, выпускаемых компаниями Linksys, MikroTik, NETGEAR, TP-Link и QNAP.
Издание The Daily Beast сообщило, что для исследования поведения вируса, агенты ФБР в Питтсбурге подключили свой сетевой экран к заражённому роутеру местного жителя. Таким образом ФБР смогло отследить и проанализировать трафик, создаваемый вредоносным софтом.
Благодаря этому стало известно, как вирус ведёт себя после заражения пользовательских устройств: после того, как вредоносный софт встраивался в маршрутизатор, он отправлял информацию на сайт ToKnowAll.com. Затем вирус получал новые команды, в соотвествии с которыми устанавливал в прошивку роутера различные дополнения. Эти дополнения позволяли не только использовать компьютеры для ddos-атак различных сайтов и сетей, но и красть данные пользователей, например, фотографии и учётные записи.
Фотографии отправлялись на сайт Photobucket, который уже удалил эти данные ранее, а теперь ФБР захватила и домен ToKnowAll.сom, чтобы перекрыть управление вредоносной сетью. Благодаря этому ФБР теперь может отследить заражённые устройства, и передать информацию провайдерам интернета. Провайдеры смогут удалённо установить чистые прошивки на свои фирменные устройства, или оповестить клиентов о необходимости очистить их собственное железо.
ФБР стало известно, что кроме США, вирус установлен на устройствах ещё в 53 странах.
Исследователи Cisco заявили, что вирус «VPN Filter» был разработан некой «Передовой Страной», подразумевая Россию, но озвучить название страны, и предоставить какие-то доказательства связи хакерской группы с какой-нибудь государственной структурой не смогли.
Эксперты в области безопасности не считают захват сайта ToKnowAll.сom абсолютной победой американских властей, отмечая, что с большой долей вероятности можно предположить наличие запасных путей управления ботнетом.