ФБР ліквідувало мережу із сотень роутерів Ubiquiti Edge OS, заражених шкідливим програмним забезпеченням Moobot. Цей ботнет контролювався Головним розвідувальним управлінням Генерального штабу росії (ГРУ), а саме військовою частиною 26165 ГРУ, яка також відстежується як APT28, Fancy Bear і Sednit. Про це повідомляє BleepingComputer.
Цілями російських хакерів є уряди США та інших країн, військові структури, а також служби безпеки й корпоративні організації.
«Цей ботнет відрізнявся від попередніх мереж зловмисного програмного забезпечення ГРУ та російської Федеральної служби безпеки тим, що ГРУ створювало його не з нуля. Натомість ГРУ покладалося на шкідливе програмне забезпечення Moobot, яке пов’язане з відомим злочинним угрупованням», – повідомили в Мін’юсті.
Кіберзлочинці, не пов’язані з військовою розвідкою росії, першими проникли на маршрутизатори Ubiquiti Edge OS і розгорнули зловмисне програмне забезпечення Moobot, націлившись на пристрої, доступні в Інтернеті з широко відомими паролями адміністратора за замовчуванням.
Згодом хакери ГРУ використали зловмисне програмне забезпечення Moobot для розгортання власних шкідливих інструментів, фактично перепрофілювавши ботнет на інструмент кібершпигунства із глобальним охопленням.
На скомпрометованих маршрутизаторах ФБР виявило широкий спектр інструментів та артефактів APT28 – від скриптів Python для збору облікових даних вебпошти та програм для викрадення дайджестів NTLMv2 до спеціальних правил маршрутизації, які перенаправляли фішинговий трафік на спеціальну інфраструктуру атак.
У межах санкціонованої судом операції агенти ФБР отримали віддалений доступ до скомпрометованих маршрутизаторів і використали саму шкідливу програму Moobot для видалення вкрадених і шкідливих даних та файлів.
Потім вони видалили шкідливе програмне забезпечення Moobot і заблокували віддалений доступ, адже інакше російські кібершпигуни змогли б повторно заразити пристрої.
Окрім перешкоди доступу ГРУ до маршрутизаторів, операція не порушила стандартну функціональність пристроїв і дані користувачів. Зазначається, що санкціоновані судом дії, які розірвали зв’язок маршрутизаторів із ботнетом Moobot, є тимчасовими.
Користувачі можуть змінити правила брандмауера ФБР, скинувши заводські налаштування маршрутизаторів або отримавши доступ до них через локальні мережі. Однак скидання пристроїв до заводських налаштувань без зміни пароля адміністратора за замовчуванням призведе до повторного зараження.
Групу кібершпигунів APT28 раніше пов’язували зі зламом Федерального парламенту Німеччини (Deutscher Bundestag) у 2015 році. У жовтні 2020 року Рада Європейського Союзу наклала санкції на кількох членів APT28 за участь у цій хакерській атаці.
Раніше ProIT повідомляв, що українська кіберармія зламала російський софт для дронів.
Нагадаємо, що наприкінці 2023 року масштабної хакерської атаки зазнав найбільший мобільний оператор України «Київстар». Кібератака зруйнувала приблизно 40% інфраструктури компанії. Збитки оцінили у 3,6 мільярда гривень.
Читайте також на ProIT: Перша світова кібервійна. Хто стоїть за атакою на «Київстар» та як Україна може протистояти хакерам.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!