FBI, Rusya'nın Genel Personel Ana İstihbarat Müdürlüğü (GRU) tarafından kötü niyetli trafiğe vekalet etmek ve ABD ve müttefiklerini öncü ve kimlik bilgisi saldırılarında hedeflemek için kullandığı küçük bir ofis/ev ofisi (SOHO) yönlendiricilerinin bir botnetini düşürdü.
Moobot kötü amaçlı yazılımlarla enfekte olan yüzlerce ubiquiti kenar işletim sistemi yönlendiricisi, APT28, Fantezi Bear ve Sednit olarak da izlenen GRU Askeri Ünitesi 26165 tarafından kontrol edildi.
Rus korsanların hedefleri arasında ABD ve yabancı hükümetler, askeri kuruluşlar, güvenlik ve kurumsal kuruluşlar yer alıyor.
"Bu botnet, GRU'nun sıfırdan yaratmaması nedeniyle Departman tarafından kesintiye uğradığı önceki GRU ve Rus Federal Güvenlik Servisi (FSB) kötü amaçlı yazılım ağlarından farklıydı. Bunun yerine, GRU bir ile ilişkili olan 'Moobot' malware'e güveniyordu. Bilinen suç grubu, "dedi Adalet Bakanlığı.
GRU (Rus askeri istihbaratı) ile bağlantılı olmayan siber suçlular ilk olarak ubiquiti Edge OS yönlendiricilerine sızdı ve moobot kötü amaçlı yazılımları konuşlandırdı ve internete maruz kalan cihazları yaygın olarak bilinen varsayılan yönetici şifreleri ile hedef aldı.
Daha sonra, GRU bilgisayar korsanları, kendi özel kötü amaçlı araçlarını dağıtmak için Moobot kötü amaçlı yazılımlarından yararlandı ve botnet'i küresel erişimle bir siber casusluk aracına etkili bir şekilde yeniden düzenledi.
Geri ihlal edilmiş yönlendiricilerde FBI, Python komut dosyalarından webmail kimlik bilgilerini hasat etmek için çok çeşitli APT28 araçları ve eserleri keşfetti ve NTLMV2 sindirimlerini, kimlik avı trafiğini özel saldırı altyapısına yönlendiren özel yönlendirme kurallarına yönlendirdi.
Mahkeme yetkilendirilmiş "Operasyon Ölüm Ember" in bir parçası olarak FBI ajanları, tehlikeye atılan yönlendiricilere uzaktan erişti ve Moobot kötü amaçlı yazılımları çalınan ve kötü amaçlı verileri ve dosyaları silmek için kullandı.
Daha sonra, Moobot kötü amaçlı yazılımları sildiler ve Rus siberlerin cihazları yeniden canlandırmasına izin verecek uzak erişimi engellediler.
"Ek olarak, mağdurlar uzlaşmayı azaltıncaya ve tam kontrolü yeniden sağlayana kadar GRU'nun yönlendiricilere erişimini nötralize etmek için, operasyon, cihazlara uzaktan yönetimin erişimini engellemek için yönlendiricilerin güvenlik duvarı kurallarını tersine çevirerek değiştirdi. GRU'nun operasyonu engelleme girişimlerini ortaya çıkaracak olan içeriksiz yönlendirme bilgilerinin geçici olarak toplanması. "
Gru'nun yönlendiricilere erişimini engellemenin yanı sıra, işlem cihazların standart işlevselliğini veya kullanıcı verilerini hasat etmedi. Dahası, yönlendiricilerin Moobot BotNet ile bağlantısını koparan mahkeme onaylı eylemler sadece geçicidir.
Kullanıcılar, yönlendiricilerini sıfırlayarak veya yerel ağlardan erişerek FBI'ın güvenlik duvarı kurallarını tersine çevirebilir. Ancak, varsayılan yönetici şifresini değiştirmeden cihazların sıfırlanması fabrika, bunları yeniden enfeksiyona maruz bırakacaktır.
Moobot, devlet destekli bilgisayar korsanları tarafından Ocak ayında Çin Volt Typhoon State hacker'ları tarafından kullanılan KV-Botnet'in yayından kaldırılmasından sonra 2024'te FBI tarafından kesintiye uğrayan tespitten kaçınmak için kullanılan ikinci botnet.
O zamandan beri, CISA ve FBI ayrıca Soho yönlendirici üreticileri için rehberlik yaptı ve onları güvenli yapılandırma varsayılanları yardımıyla cihazlarını devam eden saldırılara karşı güvence altına almaya çağırdı ve geliştirme sırasında web yönetimi arayüzü kusurlarını ortadan kaldırdı.
APT28 Siber-Teslim Grubu daha önce Alman Federal Parlamentosu'nun (Deutscher Petsestag) 2015 hackiyle bağlantılıydı.
Ayrıca 2016 yılında (iki yıl sonra ABD'de suçlandıkları) Demokratik Kongre Kampanya Komitesi (DCCC) ve Demokratik Ulusal Komite (DNC) aleyhindeki saldırıların arkasındaydılar.
Avrupa Birliği Konseyi ayrıca 2015 Alman Federal Parlamento Hack'e katılımları için Ekim 2020'de birden fazla APT28 üyesini onayladı.
Rus askeri bilgisayar korsanları Ukrayna'yı yeni masepie kötü amaçlı yazılımlarla hedefleyin
Turla Hackers Backdoor STK'ları yeni Tinyturla-Ng kötü amaçlı yazılım
FBI, Warzone faresi altyapısını ele geçirir, tutukladı kötü amaçlı yazılım satıcısını
FBI, enfekte yönlendiricilerden kötü amaçlı yazılımları silerek Çin botnetini bozar
Çinli hackerlar Hollanda askeri ağını kötü amaçlı yazılımlarla bulaştı
Kaynak: Bleeping Computer