Amerykańskie FBI demontuje rosyjski botnet GRU zbudowany na ponad 1000 domowych routerów dla małych firm
Rząd USA twierdzi, że zniszczył botnet wykorzystywany przez rosyjską jednostkę wywiadu wojskowego GRU do przeprowadzania wypraw phishingowych, szpiegostwa, gromadzenia danych uwierzytelniających i kradzieży danych przeciwko rządom USA i innych krajów oraz innym strategicznym celom, donosi The Register.
Według dyrektora FBI Christophera Wraya, przemawiającego w czwartek na konferencji poświęconej cyberbezpieczeństwu w Monachium, ostatnia konfiskata zarządzona przez sąd miała miejsce w styczniu i obejmowała neutralizację “ponad tysiąca” routerów domowych i małych firm, które zostały zainfekowane złośliwym oprogramowaniem Moobot, wariantem Mirai. Moobot może być wykorzystywany do zdalnego kontrolowania zainfekowanych urządzeń i przeprowadzania ataków na sieci.
Cyberprzestępcy spoza GRU zainstalowali Moobota na routerach Ubiquiti Edge OS przy użyciu publicznie znanych domyślnych haseł administratora. Zespół szpiegowski GRU (znany jako APT 28, Forest Blizzard i Fancy Bear) wykorzystał następnie Moobota do zainstalowania własnych skryptów i plików, które zmieniły przeznaczenie botnetu, “przekształcając go w globalną platformę cyberszpiegowską”, według federalnych.
“Rosyjskie służby wywiadowcze zwróciły się do grup przestępczych o pomoc w atakowaniu domowych i biurowych routerów, ale Departament Sprawiedliwości zablokował ich plan” – powiedział prokurator generalny USA Merrick Garland.“Będziemy nadal zakłócać i niszczyć złośliwe narzędzia cybernetyczne rosyjskiego rządu, które zagrażają bezpieczeństwu Stanów Zjednoczonych i naszych sojuszników“.
Botnet był wymierzony w organizacje będące przedmiotem zainteresowania rosyjskiego rządu, w tym rząd Stanów Zjednoczonych i inne rządy, a także organizacje wojskowe, bezpieczeństwa i korporacyjne. W grudniu Microsoft poinformował, że zespół Fancy Bear wykorzystał dwa wcześniej załatane błędy do uruchomienia kampanii phishingowych na dużą skalę przeciwko ważnym celom, takim jak agencje rządowe, obronne i lotnicze w USA i Europie, chociaż nie powiedział, czy botnet został wykorzystany w tych atakach.
Na początku tego tygodnia poinformowano, że agenci Kremla zostali przyłapani na nadużywaniu modeli OpenAI do tworzenia wiadomości phishingowych i skryptów złośliwego oprogramowania.
Według amerykańskich prokuratorów, federalni byli w stanie nakazać botnetowi Moobot skopiowanie i usunięcie złośliwych plików, w tym samego złośliwego oprogramowania, a także wszelkich skradzionych danych na zhakowanych routerach, prawdopodobnie podobnie jak zrobił to Departament Sprawiedliwości podczas niedawnej likwidacji botnetu Volt Typhoon KV.
FBI poinformowało[PDF], że demontaż sieci Moobot obejmował również modyfikację reguł zapory routera w celu zablokowania dostępu do zdalnego sterowania urządzeniami, zapobiegając dalszej kradzieży i “pozwolił na tymczasowe gromadzenie niespornych informacji o routingu, które ujawniłyby próby GRU zakłócenia” operacji.
Innymi słowy, Wujek Sam był w stanie uniemożliwić Rosji korzystanie z botnetu, jak pisze źródło, blokując dostęp do zdalnego sterowania, usuwając złośliwe oprogramowanie z routerów i kontrolując pracę Kremla na zainfekowanym sprzęcie. Podobno wszystko to odbyło się za zgodą właścicieli zainfekowanego sprzętu.
Ponadto, według federalnych, użytkownicy mogą wycofać zmiany reguł zapory Wujka Sama poprzez przywrócenie ustawień fabrycznych lub za pośrednictwem interfejsu internetowego routera, chociaż należy pamiętać, że resetowanie potencjalnie pozostawia urządzenia otwarte na ponowne przejęcie, chyba że domyślne hasło administratora zostanie zmienione.
“Przywrócenie ustawień fabrycznych, któremu nie towarzyszy zmiana domyślnego hasła administratora, przywróci routerowi domyślne poświadczenia administratora, pozostawiając go otwartym na ponowną infekcję lub podobne zagrożenia” – ostrzegł Departament Sprawiedliwości USA.
To już drugi raz w ciągu ostatnich kilku miesięcy, kiedy FBI twierdzi, że odkryło botnet finansowany przez cały stan. Pierwszy, ogłoszony w styczniu, należał do chińskiej firmy Volt Typhoon, która wykorzystała setki przestarzałych urządzeń Cisco i Netgear do infiltracji obiektów energetycznych, sieci ratunkowych i innej krytycznej infrastruktury w Stanach Zjednoczonych.
Jednak, jak powiedział The Register John Hultquist, główny analityk w Google Mandiant Intelligence, jest prawdopodobne, że wspierany przez Kreml zespół “wkrótce powróci z nowym planem” ze względu na zbliżające się wybory, na które Rosjanie chcą mieć wpływ z powodu wojny z Ukrainą.
Uważa się, że Fancy Bear stoi za ingerencją w komputery amerykańskiej Partii Demokratycznej podczas wyścigu prezydenckiego w 2016 roku i od tego czasu nadal próbują zakłócić wybory.
Uważa się, że jeśli Donald Trump wygra wybory prezydenckie w USA, całkowicie wycofa pomoc wojskową i finansową dla Ukrainy i nie zapewni pomocy NATO krajom europejskim, jeśli Rosja zaatakuje UE. Innymi słowy, Putin zakłada się, że jeśli Trump wygra, “odda” Ukrainę i całą Europę Rosji.
