O governo dos EUA disse na quinta-feira que interrompeu uma botnet composta por centenas de roteadores de pequenos escritórios e escritórios domésticos (SOHO) no país que foi usada pelo ator APT28 ligado à Rússia para ocultar suas atividades maliciosas.
“Esses crimes incluíram vastos ataques de phishing e campanhas semelhantes de coleta de credenciais contra alvos de interesse de lucidez para o governo russo, porquê governos dos EUA e estrangeiros e organizações militares, de segurança e corporativas”, disse o Departamento de Justiça dos EUA (DoJ) em um transmitido. enunciação.
APT28, também rastreado sob os nomes BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy e TA422, é medido porquê vinculado à Unidade 26165 da Diretoria Principal de Estado-Maior General (GRU). Sabe-se que está ativo desde pelo menos 2007.
Documentos judiciais alegam que os invasores realizaram suas campanhas de espionagem cibernética confiando no MooBot, um botnet fundamentado em Mirai que escolheu roteadores fabricados pela Ubiquiti para cooptá-los em uma rede de dispositivos que podem ser modificados para atuar porquê proxy. retransmitindo tráfico malicioso enquanto protege seus endereços IP reais.
A botnet, disse o DoJ, permitiu que os atores da ameaço mascarassem sua verdadeira localização e coletassem credenciais e hashes NT LAN Manager (NTLM) v2 por meio de scripts personalizados, muito porquê hospedassem páginas de rumo de spear-phishing e outras ferramentas personalizadas para senhas de força bruta. , roubando senhas de usuários de roteadores e propagando o malware MooBot para outros dispositivos.
Em uma enunciação redigida apresentada pelo Federalista Bureau of Investigation (FBI) dos EUA, a escritório disse que o MooBot explora roteadores Ubiquiti vulneráveis e publicamente acessíveis usando credenciais padrão e implanta um malware SSH que permite entrada remoto persistente ao dispositivo.
“Os cibercriminosos não GRU instalaram o malware Moobot em roteadores Ubiquiti Edge OS que ainda usavam senhas de gestor padrão conhecidas publicamente”, explicou o DoJ. “Os hackers do GRU usaram o malware Moobot para instalar seus próprios scripts e arquivos personalizados que redirecionaram o botnet, transformando-o em uma plataforma global de espionagem cibernética.”
Suspeita-se que os atores do APT28 tenham encontrado e acessado ilegalmente roteadores Ubiquiti comprometidos, conduzindo varreduras públicas da Internet usando um número de versão específico do OpenSSH porquê parâmetro de pesquisa e, em seguida, usando o MooBot para acessar esses roteadores.
As campanhas de spear-phishing realizadas pelo grupo de hackers também aproveitaram o dia zero no Outlook (CVE-2023-23397) para desviar credenciais de login e transmiti-las aos roteadores.
“Em outra campanha identificada, os atores do APT28 criaram uma página de rumo falsa do Yahoo! para enviar credenciais inseridas na página falsa para um roteador Ubiquiti comprometido para serem coletadas pelos atores do APT28 conforme sua conveniência”, disse o FBI.
Uma vez que secção dos seus esforços para desmantelar a botnet nos EUA e prevenir mais crimes, uma série de comandos não especificados foram emitidos para imitar os dados roubados e ficheiros maliciosos antes de os expelir e modificar as regras de firewall para bloquear o entrada remoto do APT28 aos routers.
O número exato de dispositivos comprometidos nos EUA foi censurado, embora o FBI tenha notado que isso poderia mudar. Dispositivos Ubiquiti infectados foram detectados em “quase todos os estados”, acrescentou.
A operação autorizada pelo tribunal – conhecida porquê Dying Ember – ocorre exclusivamente algumas semanas depois de os EUA terem desmantelado outra campanha de hackers patrocinada pelo Estado, originária da China, que alavancou outra botnet com o nome de código KV-botnet para atingir instalações de infra-estruturas críticas.
Em maio pretérito, os EUA também anunciaram a derrubada de uma rede global comprometida por uma variedade de malware avançada chamada Snake, exercida por hackers associados ao Serviço Federalista de Segurança da Rússia (FSB), também espargido porquê Turla.
