Правительство США в четверг заявило, что оно нарушило работу ботнета, состоящего из сотен маршрутизаторов для небольших офисов и домашних служб (SOHO) в стране, который использовался связанным с Россией участником APT28 для сокрытия своей вредоносной деятельности.
"Эти преступления включали масштабный фишинг и аналогичные кампании по сбору учетных данных против объектов, представляющих разведывательный интерес для российского правительства, таких как правительства США и других стран, военные, службы безопасности и корпоративные организации", - говорится в заявлении Министерства юстиции США (DoJ).
APT28, также отслеживаемый под псевдонимами BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (ранее Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy и TA422, оценивается как связанный с подразделением 26165 Главного управления Генерального штаба России (ГРУ). Известно, что он активен как минимум с 2007 года.
В судебных документах утверждается, что злоумышленники осуществили свои кампании по кибершпионажу, полагаясь на MooBot, ботнет на базе Mirai, который выбрал маршрутизаторы производства Ubiquiti, чтобы подключить их к сети устройств, которые могут быть модифицированы для использования в качестве прокси-сервера, ретранслирующего вредоносный трафик и защищающего их фактические IP-адреса.
По словам Министерства юстиции, ботнет позволял субъектам угрозы маскировать свое истинное местоположение и собирать учетные данные и хэши NT LAN Manager (NTLM) v2 с помощью специальных скриптов, а также размещать целевые страницы для фишинга и другие пользовательские инструменты для взлома паролей, кражи паролей пользователей маршрутизаторов и распространения вредоносного ПО MooBot на другие устройства.
В отредактированном письменном показании под присягой, поданном Федеральным бюро расследований США (ФБР), агентство заявило, что MooBot использует уязвимые и общедоступные маршрутизаторы Ubiquiti, используя учетные данные по умолчанию, и внедряет вредоносное ПО SSH, которое разрешает постоянный удаленный доступ к устройству.
"Киберпреступники, не относящиеся к ГРУ, установили вредоносное ПО Moobot на маршрутизаторы Ubiquiti Edge OS, которые по-прежнему использовали общеизвестные пароли администратора по умолчанию", - пояснили в Министерстве юстиции. "Затем хакеры ГРУ использовали вредоносное ПО Moobot для установки своих собственных скриптов и файлов, которые изменили назначение ботнета, превратив его в глобальную платформу кибершпионажа".
Подозреваются, что участники APT28 обнаружили скомпрометированные маршрутизаторы Ubiquiti и незаконно получили к ним доступ, проведя публичное сканирование Интернета с использованием определенного номера версии OpenSSH в качестве параметра поиска, а затем используя MooBot для доступа к этим маршрутизаторам.
Хакерские кампании, проводимые хакерской группой, также использовали нулевой день в Outlook (CVE-2023-23397) для сбора учетных данных для входа в систему и передачи их маршрутизаторам.
"В другой выявленной кампании участники APT28 разработали поддельный Yahoo! целевая страница для отправки учетных данных, введенных на фальшивой странице, на скомпрометированный маршрутизатор Ubiquiti, которые будут собраны участниками APT28 в удобное для них время ", - заявили в ФБР.
В рамках своих усилий по разрушению ботнета в США и предотвращению дальнейших преступлений была выдана серия неуказанных команд для копирования украденных данных и вредоносных файлов перед их удалением и изменения правил брандмауэра, чтобы заблокировать удаленный доступ APT28 к маршрутизаторам.
Точное количество устройств, которые были скомпрометированы в США, подверглось цензуре, хотя ФБР отметило, что оно может измениться. Зараженные устройства Ubiquiti были обнаружены "почти в каждом штате", добавило оно.
Санкционированная судом операция, получившая название Dying Ember, была проведена всего через несколько недель после того, как США прекратили другую спонсируемую государством хакерскую кампанию, исходящую из Китая, в ходе которой другой ботнет под кодовым названием KV-botnet был нацелен на объекты критической инфраструктуры.
В мае прошлого года США также объявили об отключении глобальной сети, скомпрометированной передовым штаммом вредоносного ПО, получившим название Snake, которым владеют хакеры, связанные с Федеральной службой безопасности России (ФСБ), также известные как Turla.
"Эти преступления включали масштабный фишинг и аналогичные кампании по сбору учетных данных против объектов, представляющих разведывательный интерес для российского правительства, таких как правительства США и других стран, военные, службы безопасности и корпоративные организации", - говорится в заявлении Министерства юстиции США (DoJ).
APT28, также отслеживаемый под псевдонимами BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (ранее Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy и TA422, оценивается как связанный с подразделением 26165 Главного управления Генерального штаба России (ГРУ). Известно, что он активен как минимум с 2007 года.
В судебных документах утверждается, что злоумышленники осуществили свои кампании по кибершпионажу, полагаясь на MooBot, ботнет на базе Mirai, который выбрал маршрутизаторы производства Ubiquiti, чтобы подключить их к сети устройств, которые могут быть модифицированы для использования в качестве прокси-сервера, ретранслирующего вредоносный трафик и защищающего их фактические IP-адреса.
По словам Министерства юстиции, ботнет позволял субъектам угрозы маскировать свое истинное местоположение и собирать учетные данные и хэши NT LAN Manager (NTLM) v2 с помощью специальных скриптов, а также размещать целевые страницы для фишинга и другие пользовательские инструменты для взлома паролей, кражи паролей пользователей маршрутизаторов и распространения вредоносного ПО MooBot на другие устройства.
В отредактированном письменном показании под присягой, поданном Федеральным бюро расследований США (ФБР), агентство заявило, что MooBot использует уязвимые и общедоступные маршрутизаторы Ubiquiti, используя учетные данные по умолчанию, и внедряет вредоносное ПО SSH, которое разрешает постоянный удаленный доступ к устройству.
"Киберпреступники, не относящиеся к ГРУ, установили вредоносное ПО Moobot на маршрутизаторы Ubiquiti Edge OS, которые по-прежнему использовали общеизвестные пароли администратора по умолчанию", - пояснили в Министерстве юстиции. "Затем хакеры ГРУ использовали вредоносное ПО Moobot для установки своих собственных скриптов и файлов, которые изменили назначение ботнета, превратив его в глобальную платформу кибершпионажа".
Подозреваются, что участники APT28 обнаружили скомпрометированные маршрутизаторы Ubiquiti и незаконно получили к ним доступ, проведя публичное сканирование Интернета с использованием определенного номера версии OpenSSH в качестве параметра поиска, а затем используя MooBot для доступа к этим маршрутизаторам.
Хакерские кампании, проводимые хакерской группой, также использовали нулевой день в Outlook (CVE-2023-23397) для сбора учетных данных для входа в систему и передачи их маршрутизаторам.
"В другой выявленной кампании участники APT28 разработали поддельный Yahoo! целевая страница для отправки учетных данных, введенных на фальшивой странице, на скомпрометированный маршрутизатор Ubiquiti, которые будут собраны участниками APT28 в удобное для них время ", - заявили в ФБР.
В рамках своих усилий по разрушению ботнета в США и предотвращению дальнейших преступлений была выдана серия неуказанных команд для копирования украденных данных и вредоносных файлов перед их удалением и изменения правил брандмауэра, чтобы заблокировать удаленный доступ APT28 к маршрутизаторам.
Точное количество устройств, которые были скомпрометированы в США, подверглось цензуре, хотя ФБР отметило, что оно может измениться. Зараженные устройства Ubiquiti были обнаружены "почти в каждом штате", добавило оно.
Санкционированная судом операция, получившая название Dying Ember, была проведена всего через несколько недель после того, как США прекратили другую спонсируемую государством хакерскую кампанию, исходящую из Китая, в ходе которой другой ботнет под кодовым названием KV-botnet был нацелен на объекты критической инфраструктуры.
В мае прошлого года США также объявили об отключении глобальной сети, скомпрометированной передовым штаммом вредоносного ПО, получившим название Snake, которым владеют хакеры, связанные с Федеральной службой безопасности России (ФСБ), также известные как Turla.
