Το FBI κατέρριψε ένα botnet δρομολογητών
μι
κρών γραφείων/οικιακών γραφείων (SOHO)
που
χρησιμοποιούσε η Κύρια Διεύθυνση Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU) σε επιθέσεις ψαρέματος και κλοπής διαπιστευτηρίων με στόχο τις Ηνωμένες Πολιτείες και τους συμμάχους τους.
Αυτό το δίκτυο εκατοντάδων δρομολογητών Ubiquiti Edge OS που έχουν μολυνθεί με
κακόβουλο λογισμικό
Moobot ελεγχόταν από τη Στρατιωτική Μονάδα 26165 της GRU, η οποία επίσης παρακολουθήθηκε ως APT28, Fancy Bear και Sednit.
Οι στόχοι των Ρώσων χάκερ περιλαμβάνουν αμερικανικές και ξένες κυβερνήσεις, στρατιωτικές οντότητες, καθώς και οργανισμούς ασφαλείας και εταιρικούς.
“Αυτό το botnet ήταν διαφορετικό από τα προηγούμενα δίκτυα κακόβουλου λογισμικού της GRU και της Ρωσικής Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) που είχαν διακοπεί από το Υπουργείο, καθώς η GRU δεν το δημιούργησε από την αρχή. Αντίθετα, η GRU βασιζόταν στο κακόβουλο λογισμικό “Moobot”, το οποίο σχετίζεται με ένα γνωστή εγκληματική ομάδα», το υπουργείο Δικαιοσύνης
είπε
.
Κυβερνοεγκληματίες που δεν συνδέονται με τη GRU (Ρωσική Στρατιωτική Υπηρεσία Πληροφοριών) διείσδυσαν για πρώτη φορά σε δρομολογητές Ubiquiti Edge OS και ανέπτυξαν το κακόβουλο λογισμικό Moobot, στοχεύοντας συσκευές που εκτίθενται στο
Διαδίκτυο
με ευρέως γνωστούς προεπιλεγμένους κωδικούς πρόσβασης διαχειριστή.
Στη συνέχεια, οι χάκερ της GRU χρησιμοποίησαν το κακόβουλο λογισμικό Moobot για να αναπτύξουν τα δικά τους προσαρμοσμένα κακόβουλα εργαλεία, επαναχρησιμοποιώντας ουσιαστικά το botnet σε ένα εργαλείο κατασκοπείας στον κυβερνοχώρο με παγκόσμια εμβέλεια.
Το FBI σκουπίζει κακόβουλο λογισμικό και αποκλείει την απομακρυσμένη πρόσβαση
Κατά τη διάρκεια μιας επιχείρησης που εξουσιοδοτήθηκε από το δικαστήριο, πράκτορες του FBI είχαν απομακρυσμένη πρόσβαση στους παραβιασμένους δρομολογητές και χρησιμοποίησαν το ίδιο το κακόβουλο λογισμικό Moobot για να διαγράψουν κλεμμένα και κακόβουλα δεδομένα και αρχεία.
Στη συνέχεια, διέγραψαν το κακόβουλο λογισμικό Moobot και απέκλεισαν την απομακρυσμένη πρόσβαση που διαφορετικά θα επέτρεπε στους Ρώσους κυβερνοκατασκόπους να μολύνουν εκ νέου τις συσκευές.
“Επιπλέον, προκειμένου να εξουδετερωθεί η πρόσβαση της GRU στους δρομολογητές έως ότου τα θύματα μπορέσουν να μετριάσουν τον συμβιβασμό και να επαναφέρουν τον πλήρη έλεγχο, η επιχείρηση τροποποίησε αντιστρέψιμα τους κανόνες του τείχους προστασίας των δρομολογητών για να εμποδίσει την πρόσβαση απομακρυσμένης διαχείρισης στις συσκευές και κατά τη διάρκεια της λειτουργίας, επέτρεψε την προσωρινή συλλογή πληροφοριών δρομολόγησης χωρίς περιεχόμενο που θα αποκάλυπταν τις προσπάθειες της GRU να εμποδίσει την επιχείρηση», ανέφερε το υπουργείο Δικαιοσύνης.
Εκτός από την παρεμπόδιση της πρόσβασης της GRU στους δρομολογητές, η λειτουργία δεν διέκοψε την τυπική λειτουργικότητα των συσκευών ούτε συγκέντρωσε δεδομένα χρήστη. Επιπλέον, οι ενέργειες που εγκρίθηκαν από το δικαστήριο που διέκοψαν τη σύνδεση των δρομολογητών με το botnet Moobot είναι μόνο προσωρινές.
Οι χρήστες μπορούν να αντιστρέψουν τους κανόνες του τείχους προστασίας του FBI επαναφέροντας εργοστασιακά τους δρομολογητές τους ή αποκτώντας πρόσβαση σε αυτούς μέσω των τοπικών δικτύων. Ωστόσο, η εργοστασιακή επαναφορά των συσκευών χωρίς αλλαγή του προεπιλεγμένου κωδικού πρόσβασης διαχειριστή θα τις εκθέσει σε εκ νέου μόλυνση.
Ποιος είναι ο APT28;
Η ομάδα κυβερνοκατασκοπείας APT28 είχε προηγουμένως συνδεθεί με το χακάρισμα του γερμανικού ομοσπονδιακού κοινοβουλίου (Deutscher Bundestag) το 2015.
Ήταν επίσης πίσω από τις επιθέσεις εναντίον της Επιτροπής Εκστρατείας του Δημοκρατικού
Κογκρέσο
υ (DCCC) και της Εθνικής Επιτροπής των Δημοκρατικών (DNC) το 2016 (για τις οποίες κατηγορήθηκαν στις ΗΠΑ δύο χρόνια αργότερα).
Το Συμβούλιο της Ευρωπαϊκής Ένωσης επέβαλε επίσης κυρώσεις σε πολλά μέλη της APT28 τον Οκτώβριο του 2020 για τη συμμετοχή τους στην πειρατεία του Γερμανικού Ομοσπονδιακού Κοινοβουλίου το 2015.
Το Moobot είναι το δεύτερο botnet που χρησιμοποιείται από κρατικά χορηγούς χάκερ για να αποφύγει τον εντοπισμό που διακόπηκε από το FBI το 2024 μετά την κατάργηση του KV-botnet που χρησιμοποιούσαν οι κινεζικοί κρατικοί χάκερ Volt Typhoon τον Ιανουάριο.
Έκτοτε, η CISA και το FBI εξέδωσαν επίσης οδηγίες για τους κατασκευαστές δρομολογητών SOHO, προτρέποντάς τους να προστατεύουν τις συσκευές τους από συνεχείς επιθέσεις με τη βοήθεια προεπιλογών ασφαλούς διαμόρφωσης και εξαλείφοντας τα ελαττώματα της διεπαφής διαχείρισης ιστού κατά την ανάπτυξη.
VIA:
bleepingcomputer.com
