O FBI interrompe a botnet Moobot usada por hackers militares russos
16 de Fevereiro de 2024

O FBI derrubou uma rede de roteadores de pequenos escritórios ou residenciais (SOHO) usados pelo Diretório Principal de Inteligência da Rússia (GRU) para proxy de tráfego malicioso e para atingir os Estados Unidos e seus aliados em ataques de spearphishing e roubo de credenciais.

Essa rede de centenas de roteadores Ubiquiti Edge OS infectados com o malware Moobot era controlada pela Unidade Militar 26165 do GRU, também rastreada como APT28, Fancy Bear e Sednit.

Os alvos dos hackers russos incluem governos dos EUA e estrangeiros, entidades militares e organizações de segurança e corporativas.

"Esta botnet era distinta das redes de malware anteriores do GRU e do Serviço Federal de Segurança da Rússia (FSB) interrompidas pelo Departamento, pois o GRU não as criou do zero.

Em vez disso, o GRU confiou no malware 'Moobot', que está associado a um grupo criminoso conhecido", disse o Departamento de Justiça.

Cibercriminosos não ligados ao GRU (Inteligência Militar Russa) primeiro infiltraram roteadores Ubiquiti Edge OS e implantaram o malware Moobot, visando dispositivos expostos à Internet com senhas de administrador padrão amplamente conhecidas.

Posteriormente, os hackers do GRU aproveitaram o malware Moobot para implantar suas próprias ferramentas maliciosas personalizadas, transformando efetivamente a botnet em uma ferramenta de espionagem cibernética com alcance global.

Em roteadores comprometidos, o FBI descobriu uma ampla gama de ferramentas e artefatos APT28, desde scripts Python para colher credenciais de webmail e programas para roubar digestos NTLMv2 até regras de roteamento personalizadas que redirecionavam o tráfego de phishing para a infraestrutura de ataque dedicada.

Como parte da "Operação Dying Ember" autorizada pelo tribunal, agentes do FBI acessaram remotamente os roteadores comprometidos e usaram o próprio malware Moobot para excluir dados e arquivos roubados e maliciosos.

Em seguida, eles excluíram o malware Moobot e bloquearam o acesso remoto que teria permitido aos ciberespiões russos reinfectar os dispositivos.

"Além disso, para neutralizar o acesso do GRU aos roteadores até que as vítimas possam mitigar o comprometimento e reassumir total controle, a operação modificou reversivelmente as regras do firewall dos roteadores para bloquear o acesso remoto aos dispositivos, e durante a operação, possibilitou a coleta temporária de informações de roteamento sem conteúdo que exporia tentativas do GRU de frustrar a operação", disse o Departamento de Justiça.

Além de frustrar o acesso do GRU aos roteadores, a operação não interrompeu a funcionalidade padrão dos dispositivos ou colheu dados do usuário.

Além disso, as ações sancionadas pelo tribunal que romperam o vínculo dos roteadores com a botnet Moobot são apenas temporárias.

Os usuários podem reverter as regras de firewall do FBI redefinindo os roteadores de fábrica ou acessando-os através das redes locais.

No entanto, redefinir os dispositivos sem alterar a senha de administrador padrão irá expô-los à reinfeção.

Moobot é a segunda botnet usada por hackers patrocinados pelo estado para evadir a detecção interrompida pelo FBI em 2024 após a derrubada da KV-botnet usada por hackers estatais chineses Volt Typhoon em janeiro.

Desde então, o CISA e o FBI também emitiram orientações para os fabricantes de roteadores SOHO, instando-os a proteger seus dispositivos contra ataques em curso com a ajuda de configurações padrão seguras e a eliminar as falhas de interface de gerenciamento web durante o desenvolvimento.

O grupo de ciberespionagem APT28 foi anteriormente vinculado ao hack do Parlamento Federal Alemão (Deutscher Bundestag) em 2015.

Eles também estavam por trás dos ataques contra o Comitê de Campanha Congressional Democrático (DCCC) e o Comitê Nacional Democrático (DNC) em 2016 (pelo qual foram acusados nos EUA dois anos depois).

O Conselho da União Européia também sancionou vários membros do APT28 em outubro de 2020 por seu envolvimento no hack do Parlamento Federal Alemão em 2015.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...