Търсене
Close this search box.

ФБР унищожи ботнет на ГРУ

ФБР унищожи ботнет от рутери за малки и домашни офиси (SOHO), използван от руското Главно разузнавателно управление на Генералния щаб (ГРУ) за spearphishing и кражба на удостоверения, насочени срещу САЩ и техните съюзници.

Тази мрежа от стотици рутери Ubiquiti Edge OS, заразени със зловредния софтуер Moobot, е била контролирана от военното подразделение на ГРУ 26165, проследявано също като APT28, Fancy Bear и Sednit.

Целите на руските хакери включват американски и чуждестранни правителства, военни структури, както и организации в областта на сигурността и корпоративни организации.

„Този ботнет се различаваше от предишните мрежи от зловреден софтуер на ГРУ и Руската федерална служба за сигурност (ФСБ), разбити от Министерството, по това, че ГРУ не го е създало от нулата. Вместо това ГРУ е разчитало на зловредния софтуер „Moobot“, който е свързан с известна престъпна група“, заявиха от Министерството на правосъдието.

Киберпрестъпниците, които не са свързани с ГРУ (руското военно разузнаване), първо са проникнали в маршрутизаторите Ubiquiti Edge OS и са разгърнали зловредния софтуер „Moobot“, като са се насочили към изложени на интернет устройства с широко известни администраторски пароли по подразбиране.

Впоследствие хакерите от ГРУ са използвали зловредния софтуер Moobot, за да внедрят свои собствени зловредни инструменти, като ефективно са превърнали ботнета в инструмент за кибершпионаж с глобален обхват.

ФБР изтрива злонамерен софтуер и блокира отдалечен достъп

По време на оторизирана от съда операция агентите на ФБР получиха дистанционен достъп до компрометираните рутери и използваха самия зловреден софтуер Moobot, за да изтрият откраднатите  данни и файлове.

След това те изтриват зловредния софтуер Moobot и блокират отдалечения достъп, който в противен случай би позволил на руските кибершпиони да заразят отново устройствата.

„Освен това, за да се неутрализира достъпът на ГРУ до маршрутизаторите, докато жертвите не успеят да смекчат компрометирането и да възстановят пълния си контрол, операцията модифицира обратимо правилата на защитната стена на маршрутизаторите, за да блокира достъпа до устройствата за дистанционно управление, а в хода на операцията позволи временно събиране на несъдържателна информация за маршрутизацията, която би разкрила опитите на ГРУ да осуети операцията“, заяви Министерството на правосъдието.

Освен че е осуетила достъпа на ГРУ до рутерите, операцията не е нарушила стандартната функционалност на устройствата и не е събрала потребителски данни. Освен това санкционираните от съда действия, които прекъснаха връзката на рутерите с ботнета Moobot, са само временни.

Потребителите могат да обърнат правилата на защитната стена на ФБР, като възстановят фабричните настройки на рутерите си или получат достъп до тях чрез локалните мрежи. Фабричното нулиране на устройствата без промяна на администраторската парола по подразбиране обаче ще ги изложи на повторна инфекция.

Кой е APT28?

Групата за кибершпионаж APT28 преди това беше свързана с хакването на германския федерален парламент (Deutscher Bundestag) през 2015 г.

Те стоят и зад атаките срещу Конгресния комитет на Демократическата партия (DCCC) и Националния комитет на Демократическата партия (DNC) през 2016 г. (за които две години по-късно им бяха повдигнати обвинения в САЩ).

През октомври 2020 г. Съветът на Европейския съюз също така наложи санкции на множество членове на APT28 за участието им в хакерската атака срещу германския федерален парламент през 2015 г.

Moobot е вторият ботнет, използван от държавно спонсорирани хакери за избягване на откриването, разбит от ФБР през 2024 г. след свалянето на KV-ботнета, използван от китайските държавни хакери Volt Typhoon през януари.

Оттогава CISA и ФБР издадоха и насоки за производителите на SOHO маршрутизатори, като ги призоваха да защитят устройствата си от текущи атаки с помощта на сигурни настройки по подразбиране и отстраняване на недостатъци в интерфейса за уеб управление по време на разработката.

 

Източник: По материали от Интернет

Подобни публикации

14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
13 април 2024

На федералните агенции на САЩ е наредено да тър...

В четвъртък Агенцията за киберсигурност и инфраструктурна сигурност...
13 април 2024

Latrodectus продължава там, където QBot спря

Брокерите за първоначален достъп използват новия зловреден софтуер ...
12 април 2024

Oracle увеличава усилията си в областта на суве...

Техническият директор и председател на Oracle Лари Елисън очаква пр...
Бъдете социални
Още по темата
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
11/04/2024

CISA нарежда на агенциите, ...

CISA издаде нова спешна директива, с...
11/04/2024

10 млн. долара рекет за Hoy...

Неотдавнашната кибератака срещу Hoya Corporation, за...
Последно добавени
14/04/2024

MuddyWater приемат нов C2 и...

Иранският участник в заплахите, известен като...
14/04/2024

Критичен недостатък на Palo...

Palo Alto Networks предупреждава, че критичен...
13/04/2024

Подъл скимер на кредитни ка...

Изследователи в областта на киберсигурността са...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!