Американське ФБР ліквідувало ботнет російського ГРУ, побудований на понад 1000 домашніх маршрутизаторів для малого бізнесу

Уряд США заявив що знищив ботнет, який підрозділ військової розвідки ГРУ Росії використовував для фішингових експедицій, шпигунства, збору облікових даних та крадіжки даних проти американських та іноземних урядів та інших стратегічних об’єктів, повідомляє The Register.

Останнє санкціоноване судом вилучення відбулося в січні та включало нейтралізацію “понад тисячі” домашніх маршрутизаторів і для малого бізнесу, які були заражені шкідливим програмним забезпеченням Moobot, що є варіантом Mirai, за словами директора ФБР Крістофера Рея, виступаючи в четвер на Мюнхенській конференції з кібербезпеки. Moobot може використовуватися для дистанційного керування скомпрометованими пристроями і здійснення атак на мережі.

Кіберзлочинці, які не належать до ГРУ, встановили Moobot на маршрутизатори Ubiquiti Edge OS, використовуючи публічно відомі паролі адміністратора за замовчуванням. Потім шпигунська команда ГРУ (відома під іменами APT 28, Forest Blizzard та Fancy Bear) використала Moobot для встановлення власних скриптів і файлів, які перепрофілювали ботнет, таким чином “перетворивши його на глобальну платформу для кібершпигунства”, як стверджують федерали.

“Російські спецслужби звернулися до злочинних угруповань, щоб ті допомогли їм атакувати домашні та офісні роутери, але Міністерство юстиції заблокувало їхню схему,” — вважає Генеральний прокурор США Меррік Гарланд. “Ми продовжимо руйнувати та знищувати зловмисні кіберінструменти російського уряду, які загрожують безпеці Сполучених Штатів та наших союзників“.

Ботнет був націлений на організації, які становлять інтерес для російського уряду, включаючи уряди США та інших країн, а також військові, безпекові та корпоративні організації. У грудні Microsoft заявила, що команда Fancy Bear використовувала дві раніше виправлені помилки для масштабних фішингових кампаній, спрямованих проти важливих цілей, таких як урядові, оборонні та аерокосмічні агентства в США і Європі, хоча і не повідомила, чи використовувався ботнет для цих атак.

А на початку цього тижня стало відомо, що агенти Кремля були спіймані на зловживанні моделями OpenAI для створення фішингових електронних листів та скриптів шкідливого програмного забезпечення.

За словами американських прокурорів, федерали змогли наказати ботнету Moobot копіювати і видаляти шкідливі файли, включаючи саме шкідливе програмне забезпечення, а також будь-які викрадені дані на зламаних маршрутизаторах, ймовірно, подібно до того, як це зробило Міністерство юстиції під час нещодавньої ліквідації ботнету Volt Typhoon KV.

ФБР повідомило [PDF], що ліквідація мережі Moobot також включала модифікацію правил брандмауера маршрутизаторів, щоб заблокувати доступ до віддаленого управління пристроями, запобігаючи їх подальшому викраденню, і “дозволила тимчасово збирати неконтентну інформацію про маршрутизацію, яка б викрила спроби ГРУ зірвати” операцію.

Іншими словами, Дядько Сем зміг запобігти використанню росією ботнету, пише джерело, заблокувавши доступ до віддаленого управління, вичистив шкідливе програмне забезпечення з роутерів, а також проінспектував роботу Кремля на зараженому обладнанні. Як повідомляється, все це було здійснено за згодою власників інфікованого обладнання.

Крім того, за словами федералів, користувачі можуть відкотити зміни правил брандмауера дядька Сема за допомогою скидання до заводських налаштувань або через веб-інтерфейс маршрутизатора, хоча слід пам’ятати, що скидання потенційно залишає пристрої знову відкритими для викрадення, якщо не змінити пароль адміністратора, встановлений за замовчуванням.

“Скидання до заводських налаштувань, яке не супроводжується зміною пароля адміністратора за замовчуванням, поверне маршрутизатору облікові дані адміністратора за замовчуванням, залишаючи його відкритим для повторного зараження або подібних компрометації“, – попередили в Міністерстві юстиції США.

Це вже вдруге за останні кілька місяців, коли ФБР заявляють, що викрили ботнет, який фінансувався цілою державою. Перший, оголошений у січні, належав китайському Volt Typhoon, який зловживав сотнями застарілих пристроїв Cisco і Netgear для проникнення на енергетичні об’єкти, аварійні мережі та інші об’єкти критично важливої інфраструктури США.

Однак, як сказав головний аналітик Google Mandiant Intelligence Джон Хультквіст в інтерв’ю виданню The Register, цілком ймовірно, що підтримувана Кремлем команда “незабаром повернеться з новою схемою” через наближення виборів, на які, росіяни дуже хочуть повпливати через війну з Україною.

Вважається, що Fancy Bear стоїть за втручанням у комп’ютери Демократичної партії США під час президентських перегонів 2016 року, і з того часу вони продовжують намагатися зірвати вибори.

Нагадаємо, вважається, що якщо Дональд Трамп переможе на президентських виборах в США, то він повністю зверне допомогу Україні, військову і фінансову, а також не надасть допомогу по лінії НАТО європейським країнам, якщо росія нападе на ЄС. Тобто, путін робить ставку на те що в разі перемоги, Трамп “подарує” росії Україну та Європу вцілому.