Департамент юстиции США организовало взлом ботнета, контролируемого ГРУ РФ.
Как сообщает департамент юстиции США, санкционированная судом операция в январе 2024 года нейтрализовала сеть из сотен маршрутизаторов для небольших офисов/домашних офисов, которые воинская часть ГРУ 26165, также известная как APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear и Sednit, использовала для сокрытия и содействия совершению преступлений.
Эти преступления включали масштабные целевые фишинговые кампании и аналогичные кампании по сбору учетных данных против объектов, представляющих интерес для российского правительства – правительства США и иностранных государств, а также военные, службы безопасности и корпоративные организации.
В последние месяцы утверждения о деятельности подразделения 26165 стали предметом консультаций по кибербезопасности частного сектора и предупреждения правительства Украины.
«Департамент юстиции активизирует наши усилия по пресечению киберкампаний российского правительства против США и наших союзников, включая Украину», — заявил генеральный прокурор Меррик Гарланд.
Этот ботнет отличался от предыдущих вредоносных сетей ГРУ и ФСБ РФ тем, что ГРУ не создавало его с нуля. Вместо этого организация полагалась на вредоносную программу «Moobot».
Санкционированная судом операция Департамента использовала вредоносную программу Moobot для копирования и удаления украденных и вредоносных данных и файлов со скомпрометированных маршрутизаторов. Чтобы нейтрализовать доступ ГРУ к маршрутизаторам до тех пор, пока жертвы не смогут устранить компрометацию и восстановить полный контроль, пришлось обратимо изменить правила брандмауэра маршрутизаторов, чтобы заблокировать доступ удаленного управления к устройствам.
Как описано в судебных документах, правительство тщательно протестировало работу соответствующих маршрутизаторов Ubiquiti Edge OS. Помимо ограничения возможности ГРУ получить доступ к маршрутизаторам, эта операция не повлияла на нормальную функциональность маршрутизаторов и не повлияла на сбор законной информации о пользовательском контенте.
Кроме того, санкционированные судом меры по отключению маршрутизаторов от сети Moobot носят временный характер; пользователи могут отменить изменения правил брандмауэра, выполнив сброс настроек своих маршрутизаторов до заводских настроек или получив доступ к своим маршрутизаторам через локальную сеть (например, через веб-интерфейс пользователя маршрутизаторов). Однако сброс настроек к заводским настройкам, который не сопровождается изменением пароля администратора по умолчанию, вернет маршрутизатор к учетным данным администратора по умолчанию, оставив маршрутизатор открытым для повторного заражения или подобных угроз.
В процессе был разрешен временный сбор информации о маршрутизации, не содержащей ничего, что разоблачило бы попытки ГРУ сорвать операцию.
Чтобы лучше защитить себя, ФБР советует всем жертвам предпринять следующие шаги по исправлению положения:
– Внедрить стратегические правила брандмауэра для предотвращения нежелательного доступа к службам удаленного управления.
– Изменить все имена пользователей и пароли по умолчанию.
– Выполнить сброс аппаратных настроек к заводским, чтобы очистить файловые системы от вредоносных файлов.
– Обновить до последней версии встроенное ПО.
Если вы считаете, что ваш маршрутизатор взломан, посетите Центр рассмотрения жалоб на интернет-преступления ФБР.
ФБР настоятельно рекомендует владельцам маршрутизаторов избегать подключения своих устройств к Интернету до тех пор, пока они не изменят пароли по умолчанию.
