O FBI interrompe a botnet Moobot usada por hackers militares russos
16 de Fevereiro de 2024

O FBI derrubou uma rede de roteadores de pequenos escritórios ou residenciais (SOHO) usados pelo Diretório Principal de Inteligência da Rússia (GRU) para proxy de tráfego malicioso e para atingir os Estados Unidos e seus aliados em ataques de spearphishing e roubo de credenciais.

Essa rede de centenas de roteadores Ubiquiti Edge OS infectados com o malware Moobot era controlada pela Unidade Militar 26165 do GRU, também rastreada como APT28, Fancy Bear e Sednit.

Os alvos dos hackers russos incluem governos dos EUA e estrangeiros, entidades militares e organizações de segurança e corporativas.

"Esta botnet era distinta das redes de malware anteriores do GRU e do Serviço Federal de Segurança da Rússia (FSB) interrompidas pelo Departamento, pois o GRU não as criou do zero.

Em vez disso, o GRU confiou no malware 'Moobot', que está associado a um grupo criminoso conhecido", disse o Departamento de Justiça.

Cibercriminosos não ligados ao GRU (Inteligência Militar Russa) primeiro infiltraram roteadores Ubiquiti Edge OS e implantaram o malware Moobot, visando dispositivos expostos à Internet com senhas de administrador padrão amplamente conhecidas.

Posteriormente, os hackers do GRU aproveitaram o malware Moobot para implantar suas próprias ferramentas maliciosas personalizadas, transformando efetivamente a botnet em uma ferramenta de espionagem cibernética com alcance global.

Em roteadores comprometidos, o FBI descobriu uma ampla gama de ferramentas e artefatos APT28, desde scripts Python para colher credenciais de webmail e programas para roubar digestos NTLMv2 até regras de roteamento personalizadas que redirecionavam o tráfego de phishing para a infraestrutura de ataque dedicada.

Como parte da "Operação Dying Ember" autorizada pelo tribunal, agentes do FBI acessaram remotamente os roteadores comprometidos e usaram o próprio malware Moobot para excluir dados e arquivos roubados e maliciosos.

Em seguida, eles excluíram o malware Moobot e bloquearam o acesso remoto que teria permitido aos ciberespiões russos reinfectar os dispositivos.

"Além disso, para neutralizar o acesso do GRU aos roteadores até que as vítimas possam mitigar o comprometimento e reassumir total controle, a operação modificou reversivelmente as regras do firewall dos roteadores para bloquear o acesso remoto aos dispositivos, e durante a operação, possibilitou a coleta temporária de informações de roteamento sem conteúdo que exporia tentativas do GRU de frustrar a operação", disse o Departamento de Justiça.

Além de frustrar o acesso do GRU aos roteadores, a operação não interrompeu a funcionalidade padrão dos dispositivos ou colheu dados do usuário.

Além disso, as ações sancionadas pelo tribunal que romperam o vínculo dos roteadores com a botnet Moobot são apenas temporárias.

Os usuários podem reverter as regras de firewall do FBI redefinindo os roteadores de fábrica ou acessando-os através das redes locais.

No entanto, redefinir os dispositivos sem alterar a senha de administrador padrão irá expô-los à reinfeção.

Moobot é a segunda botnet usada por hackers patrocinados pelo estado para evadir a detecção interrompida pelo FBI em 2024 após a derrubada da KV-botnet usada por hackers estatais chineses Volt Typhoon em janeiro.

Desde então, o CISA e o FBI também emitiram orientações para os fabricantes de roteadores SOHO, instando-os a proteger seus dispositivos contra ataques em curso com a ajuda de configurações padrão seguras e a eliminar as falhas de interface de gerenciamento web durante o desenvolvimento.

O grupo de ciberespionagem APT28 foi anteriormente vinculado ao hack do Parlamento Federal Alemão (Deutscher Bundestag) em 2015.

Eles também estavam por trás dos ataques contra o Comitê de Campanha Congressional Democrático (DCCC) e o Comitê Nacional Democrático (DNC) em 2016 (pelo qual foram acusados nos EUA dois anos depois).

O Conselho da União Européia também sancionou vários membros do APT28 em outubro de 2020 por seu envolvimento no hack do Parlamento Federal Alemão em 2015.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...