ФБР пресекло деятельность российского ботнета Moobot, заражающего маршрутизаторы Ubiquiti

ФБР уничтожило ботнет маршрутизаторов для малых и домашних офисов (SOHO), использовавшийся Главным разведывательным управлением Генштаба России (ГРУ) для передачи вредоносного трафика и проведения атак на США и их союзников с целью спирфишинга и кражи учетных данных.

Сеть из сотен маршрутизаторов Ubiquiti Edge OS, зараженных вредоносным ПО Moobot, контролировалась военным подразделением ГРУ 26165, также отслеживаемым как APT28, Fancy Bear и Sednit.

Целями российских хакеров являются правительства США и других стран, военные структуры, а также охранные и корпоративные организации.

"Эта бот-сеть отличается от предыдущих сетей ГРУ и ФСБ России, уничтоженных Министерством, тем, что ГРУ не создавало ее с нуля. Вместо этого ГРУ использовало вредоносное ПО "Moobot", которое связано с известной преступной группировкой", - говорится в сообщении Министерства юстиции.

Киберпреступники, не связанные с ГРУ (российской военной разведкой), сначала проникли в маршрутизаторы Ubiquiti Edge OS и развернули вредоносную программу Moobot, нацелив ее на устройства с доступом в Интернет и широко известными паролями администраторов по умолчанию.

Впоследствии хакеры ГРУ использовали вредоносную программу Moobot для установки собственных вредоносных инструментов, превратив ботнет в инструмент кибершпионажа с глобальным охватом.

На взломанных маршрутизаторах ФБР обнаружило широкий спектр инструментов и артефактов APT28, от скриптов Python для сбора учетных данных веб-почты и программ для кражи дайджестов NTLMv2 до пользовательских правил маршрутизации, перенаправлявших фишинговый трафик на специальную инфраструктуру атаки.

ФБР удаляет вредоносное ПО и блокирует удаленный доступ
В рамках санкционированной судом операции "Умирающий Эмбер" агенты ФБР получили удаленный доступ к взломанным маршрутизаторам и использовали само вредоносное ПО Moobot для удаления украденных и вредоносных данных и файлов.

Затем они удалили вредоносную программу Moobot и заблокировали удаленный доступ, который в противном случае позволил бы российским кибершпионам повторно заразить устройства.

"Кроме того, чтобы нейтрализовать доступ ГРУ к маршрутизаторам, пока жертвы не смогут устранить последствия взлома и восстановить полный контроль, операция обратимо изменила правила брандмауэра маршрутизаторов, чтобы заблокировать удаленный доступ к устройствам, и в ходе операции включила временный сбор неконтентной маршрутной информации, которая бы раскрыла попытки ГРУ сорвать операцию", - говорится в сообщении Министерства юстиции.

Кроме того, что ГРУ помешало доступу к маршрутизаторам, операция не нарушила стандартную функциональность устройств и не собрала пользовательские данные. Более того, санкционированные судом действия по разрыву связи роутеров с ботнетом Moobot носят лишь временный характер.

Пользователи могут отменить правила брандмауэра ФБР, сбросив настройки роутеров или получив доступ к ним через локальные сети. Однако сброс устройств на заводские настройки без изменения пароля администратора по умолчанию приведет к повторному заражению.

Нарушение работы китайской бот-сети
Moobot - это второй ботнет, используемый государственными хакерами для уклонения от обнаружения, который ФБР ликвидирует в 2024 году после ликвидации ботнета KV, используемого китайскими государственными хакерами Volt Typhoon в январе.

С тех пор CISA и ФБР также выпустили руководство для производителей SOHO-маршрутизаторов, призвав их защитить свои устройства от постоянных атак с помощью безопасных настроек по умолчанию и устранения недостатков веб-интерфейса управления в процессе разработки.

Группа кибершпионажа APT28 ранее была связана со взломом Федерального парламента Германии (Deutscher Bundestag) в 2015 году.

Кроме того, они стояли за атаками на Комитет по выборам в Демократический конгресс (DCCC) и Демократический национальный комитет (DNC) в 2016 году (за что им были предъявлены обвинения в США два года спустя).

В октябре 2020 года Совет Европейского союза также ввел санкции в отношении нескольких членов APT28 за их участие во взломе Федерального парламента Германии в 2015 году.