O FBI derrubou uma rede de roteadores de pequenos escritórios ou residenciais (SOHO) usados pelo Diretório Principal de Inteligência da Rússia (GRU) para proxy de tráfego malicioso e para atingir os Estados Unidos e seus aliados em ataques de spearphishing e roubo de credenciais.
Essa rede de centenas de roteadores Ubiquiti Edge OS infectados com o malware Moobot era controlada pela Unidade Militar 26165 do GRU, também rastreada como APT28, Fancy Bear e Sednit.
Os alvos dos hackers russos incluem governos dos EUA e estrangeiros, entidades militares e organizações de segurança e corporativas.
"Esta botnet era distinta das redes de malware anteriores do GRU e do Serviço Federal de Segurança da Rússia (FSB) interrompidas pelo Departamento, pois o GRU não as criou do zero.
Em vez disso, o GRU confiou no malware 'Moobot', que está associado a um grupo criminoso conhecido", disse o Departamento de Justiça.
Cibercriminosos não ligados ao GRU (Inteligência Militar Russa) primeiro infiltraram roteadores Ubiquiti Edge OS e implantaram o malware Moobot, visando dispositivos expostos à Internet com senhas de administrador padrão amplamente conhecidas.
Posteriormente, os hackers do GRU aproveitaram o malware Moobot para implantar suas próprias ferramentas maliciosas personalizadas, transformando efetivamente a botnet em uma ferramenta de espionagem cibernética com alcance global.
Em roteadores comprometidos, o FBI descobriu uma ampla gama de ferramentas e artefatos APT28, desde scripts Python para colher credenciais de webmail e programas para roubar digestos NTLMv2 até regras de roteamento personalizadas que redirecionavam o tráfego de phishing para a infraestrutura de ataque dedicada.
Como parte da "Operação Dying Ember" autorizada pelo tribunal, agentes do FBI acessaram remotamente os roteadores comprometidos e usaram o próprio malware Moobot para excluir dados e arquivos roubados e maliciosos.
Em seguida, eles excluíram o malware Moobot e bloquearam o acesso remoto que teria permitido aos ciberespiões russos reinfectar os dispositivos.
"Além disso, para neutralizar o acesso do GRU aos roteadores até que as vítimas possam mitigar o comprometimento e reassumir total controle, a operação modificou reversivelmente as regras do firewall dos roteadores para bloquear o acesso remoto aos dispositivos, e durante a operação, possibilitou a coleta temporária de informações de roteamento sem conteúdo que exporia tentativas do GRU de frustrar a operação", disse o Departamento de Justiça.
Além de frustrar o acesso do GRU aos roteadores, a operação não interrompeu a funcionalidade padrão dos dispositivos ou colheu dados do usuário.
Além disso, as ações sancionadas pelo tribunal que romperam o vínculo dos roteadores com a botnet Moobot são apenas temporárias.
Os usuários podem reverter as regras de firewall do FBI redefinindo os roteadores de fábrica ou acessando-os através das redes locais.
No entanto, redefinir os dispositivos sem alterar a senha de administrador padrão irá expô-los à reinfeção.
Moobot é a segunda botnet usada por hackers patrocinados pelo estado para evadir a detecção interrompida pelo FBI em 2024 após a derrubada da KV-botnet usada por hackers estatais chineses Volt Typhoon em janeiro.
Desde então, o CISA e o FBI também emitiram orientações para os fabricantes de roteadores SOHO, instando-os a proteger seus dispositivos contra ataques em curso com a ajuda de configurações padrão seguras e a eliminar as falhas de interface de gerenciamento web durante o desenvolvimento.
O grupo de ciberespionagem APT28 foi anteriormente vinculado ao hack do Parlamento Federal Alemão (Deutscher Bundestag) em 2015.
Eles também estavam por trás dos ataques contra o Comitê de Campanha Congressional Democrático (DCCC) e o Comitê Nacional Democrático (DNC) em 2016 (pelo qual foram acusados nos EUA dois anos depois).
O Conselho da União Européia também sancionou vários membros do APT28 em outubro de 2020 por seu envolvimento no hack do Parlamento Federal Alemão em 2015.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...