Το FBI κατέρριψε ένα botnet δρομολογητών μικρών γραφείων/οικιακών γραφείων (SOHO) που χρησιμοποιούνταν από τη
Ρωσική
Κεντρική Διεύθυνση Πληροφοριών του Γενικού Επιτελείου (GRU) για την προώθηση κακόβουλης
κυκλοφορία
ς και για τη στόχευση των Ηνωμένων Πολιτειών και των συμμάχων τους σε επιθέσεις ψαρέματος και κλοπής διαπιστευτηρίων.
Αυτό το δίκτυο εκατοντάδων δρομολογητών
Ubiquiti
Edge OS που έχουν μολυνθεί με
κακόβουλο λογισμικό
Moobot ελεγχόταν από τη Στρατιωτική Μονάδα 26165 της GRU, η οποία επίσης παρακολουθήθηκε ως APT28, Fancy Bear και Sednit.
Οι στόχοι των Ρώσων χάκερ περιλαμβάνουν αμερικανικές και ξένες κυβερνήσεις, στρατιωτικές οντότητες, καθώς και οργανισμούς ασφαλείας και εταιρικούς.
“Αυτό το botnet ήταν διαφορετικό από τα προηγούμενα δίκτυα κακόβουλου λογισμικού της GRU και της Ρωσικής Ομοσπονδιακής Υπηρεσίας Ασφαλείας (FSB) που είχαν διακοπεί από το Υπουργείο, καθώς η GRU δεν το δημιούργησε από την αρχή. Αντίθετα, η GRU βασιζόταν στο κακόβουλο λογισμικό “Moobot”, το οποίο σχετίζεται με ένα γνωστή εγκληματική ομάδα», το υπουργείο Δικαιοσύνης
είπε
.
Κυβερνοεγκληματίες που δεν συνδέονται με τη GRU (Ρωσική Στρατιωτική Υπηρεσία Πληροφοριών) διείσδυσαν για πρώτη φορά σε δρομολογητές Ubiquiti Edge OS και ανέπτυξαν το κακόβουλο λογισμικό Moobot, στοχεύοντας συσκευές που εκτίθενται στο Διαδίκτυο με ευρέως γνωστούς προεπιλεγμένους κωδικούς πρόσβασης διαχειριστή.
Στη συνέχεια, οι χάκερ της GRU χρησιμοποίησαν το κακόβουλο λογισμικό Moobot για να αναπτύξουν τα δικά τους προσαρμοσμένα κακόβουλα εργαλεία, επαναχρησιμοποιώντας ουσιαστικά το botnet σε ένα εργαλείο κατασκοπείας στον κυβερνοχώρο με παγκόσμια εμβέλεια.
Σε παραβιασμένους δρομολογητές, το FBI ανακάλυψε μια μεγάλη γκάμα εργαλείων και τεχνουργημάτων APT28, από σενάρια Python για τη συλλογή διαπιστευτηρίων webmail και προγράμματα για την κλοπή συλλογών NTLMv2 έως προσαρμοσμένους κανόνες δρομολόγησης που ανακατεύθυναν την κυκλοφορία phishing σε αποκλειστική υποδομή επίθεσης.
Το FBI σκουπίζει κακόβουλο λογισμικό και αποκλείει την απομακρυσμένη πρόσβαση
Ως μέρος του
εξουσιοδοτημένο από το δικαστήριο “Επιχείρηση Dying Ember”,
Οι πράκτορες του FBI είχαν απομακρυσμένη πρόσβαση στους παραβιασμένους δρομολογητές και χρησιμοποίησαν το ίδιο το κακόβουλο λογισμικό Moobot για να διαγράψουν κλεμμένα και κακόβουλα δεδομένα και αρχεία.
Στη συνέχεια, διέγραψαν το κακόβουλο λογισμικό Moobot και απέκλεισαν την απομακρυσμένη πρόσβαση που διαφορετικά θα επέτρεπε στους Ρώσους κυβερνοκατασκόπους να μολύνουν εκ νέου τις συσκευές.
“Επιπλέον, προκειμένου να εξουδετερωθεί η πρόσβαση της GRU στους δρομολογητές έως ότου τα θύματα μπορέσουν να μετριάσουν τον συμβιβασμό και να επαναφέρουν τον πλήρη έλεγχο, η επιχείρηση τροποποίησε αντιστρέψιμα τους κανόνες του τείχους προστασίας των δρομολογητών για να εμποδίσει την πρόσβαση απομακρυσμένης διαχείρισης στις συσκευές και κατά τη διάρκεια της λειτουργίας, επέτρεψε την προσωρινή συλλογή πληροφοριών δρομολόγησης χωρίς περιεχόμενο που θα αποκάλυπταν τις προσπάθειες της GRU να εμποδίσει την επιχείρηση», ανέφερε το υπουργείο Δικαιοσύνης.
Εκτός από την παρεμπόδιση της πρόσβασης της GRU στους δρομολογητές, η λειτουργία δεν διέκοψε την τυπική λειτουργικότητα των συσκευών ούτε συγκέντρωσε δεδομένα χρήστη. Επιπλέον, οι ενέργειες που εγκρίθηκαν από το δικαστήριο που διέκοψαν τη σύνδεση των δρομολογητών με το botnet Moobot είναι μόνο προσωρινές.
Οι χρήστες μπορούν να αντιστρέψουν τους κανόνες του τείχους προστασίας του FBI επαναφέροντας εργοστασιακά τους δρομολογητές τους ή αποκτώντας πρόσβαση σε αυτούς μέσω των τοπικών δικτύων. Ωστόσο, η εργοστασιακή επαναφορά των συσκευών χωρίς αλλαγή του προεπιλεγμένου κωδικού πρόσβασης διαχειριστή θα τις εκθέσει σε εκ νέου μόλυνση.
Διακοπή κινεζικού botnet
Το Moobot είναι το δεύτερο botnet που χρησιμοποιείται από κρατικά χορηγούς χάκερ για να αποφύγει τον εντοπισμό που διακόπηκε από το FBI το 2024 μετά την κατάργηση του KV-botnet που χρησιμοποιούσαν οι κινεζικοί κρατικοί χάκερ Volt Typhoon τον Ιανουάριο.
Έκτοτε, η CISA και το FBI εξέδωσαν επίσης οδηγίες για τους κατασκευαστές δρομολογητών SOHO, προτρέποντάς τους να προστατεύουν τις συσκευές τους από συνεχείς επιθέσεις με τη βοήθεια προεπιλογών ασφαλούς διαμόρφωσης και εξαλείφοντας τα ελαττώματα της διεπαφής διαχείρισης ιστού κατά την ανάπτυξη.
Η ομάδα κυβερνοκατασκοπείας APT28 είχε προηγουμένως συνδεθεί με το χακάρισμα του γερμανικού ομοσπονδιακού κοινοβουλίου (Deutscher Bundestag) το 2015.
Ήταν επίσης πίσω από τις επιθέσεις εναντίον της Επιτροπής Εκστρατείας του Δημοκρατικού Κογκρέσου (DCCC) και της Εθνικής Επιτροπής των Δημοκρατικών (DNC) το 2016 (για τις οποίες κατηγορήθηκαν στις ΗΠΑ δύο χρόνια αργότερα).
Το Συμβούλιο της Ευρωπαϊκής Ένωσης επέβαλε επίσης κυρώσεις σε πολλά μέλη της APT28 τον Οκτώβριο του 2020 για τη συμμετοχή τους στην πειρατεία του Γερμανικού Ομοσπονδιακού Κοινοβουλίου το 2015.
VIA:
bleepingcomputer.com
