De Amerikaanse regering zei donderdag dat ze een botnet heeft verstoord dat bestaat uit honderden kleine kantoor- en thuiskantoorrouters (SOHO) in het land en dat door de aan Rusland gelieerde APT28-acteur werd gebruikt om zijn kwaadaardige activiteiten te verbergen.
“Deze misdaden omvatten grootschalige spearphishing- en soortgelijke campagnes voor het verzamelen van inloggegevens tegen doelwitten van inlichtingenbelang voor de Russische regering, zoals Amerikaanse en buitenlandse regeringen en militaire, veiligheids- en bedrijfsorganisaties”, zei het Amerikaanse ministerie van Justitie (DoJ) in een stelling.
APT28, ook gevolgd onder de namen BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (voorheen Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy en TA422, wordt geacht te zijn gekoppeld aan Eenheid 26165 van het Russische Hoofddirectoraat van de Generale Staf (GRU). Het is bekend dat het actief is sinds ten minste 2007.
Gerechtelijke documenten beweren dat de aanvallers hun cyberspionagecampagnes hebben uitgevoerd door te vertrouwen op MooBot, een op Mirai gebaseerd botnet dat door Ubiquiti gemaakte routers heeft uitgekozen om ze te coöpteren in een netwerk van apparaten die kunnen worden aangepast om als proxy te fungeren. het doorgeven van kwaadaardig verkeer terwijl hun werkelijke IP-adressen worden afgeschermd.
Het botnet, aldus het DoJ, stelde de bedreigingsactoren in staat hun ware locatie te maskeren en inloggegevens en NT LAN Manager (NTLM) v2-hashes te verzamelen via op maat gemaakte scripts, evenals spear-phishing-landingspagina’s en andere aangepaste tools voor het bruut forceren van wachtwoorden. , het stelen van wachtwoorden van routergebruikers en het verspreiden van de MooBot-malware naar andere apparaten.
In een geredigeerde beëdigde verklaring ingediend door het Amerikaanse Federal Bureau of Investigation (FBI), zegt het bureau dat MooBot kwetsbare en publiekelijk toegankelijke Ubiquiti-routers exploiteert door standaardreferenties te gebruiken en een SSH-malware te implanteren die permanente toegang op afstand tot het apparaat mogelijk maakt.
“Niet-GRU-cybercriminelen installeerden de MooBot-malware op Ubiquiti Edge OS-routers die nog steeds algemeen bekende standaardbeheerderswachtwoorden gebruikten”, legde het DoJ uit. “GRU-hackers gebruikten vervolgens de MooBot-malware om hun eigen op maat gemaakte scripts en bestanden te installeren die het botnet een nieuwe bestemming gaven, waardoor het een wereldwijd cyberspionageplatform werd.”
De APT28-actoren worden ervan verdacht gecompromitteerde Ubiquiti-routers te hebben gevonden en illegaal toegang te hebben verkregen door openbare scans van het internet uit te voeren met een specifiek OpenSSH-versienummer als zoekparameter en vervolgens MooBot te gebruiken om toegang te krijgen tot die routers.
Spearphishing-campagnes van de hackgroep hebben ook gebruik gemaakt van een toen-zero-day in Outlook (CVE-2023-23397) om inloggegevens over te hevelen en naar de routers te verzenden.
“In een andere geïdentificeerde campagne ontwierpen APT28-actoren een valse Yahoo!-landingspagina om de op de valse pagina ingevoerde inloggegevens naar een gecompromitteerde Ubiquiti-router te sturen, zodat deze op hun gemak door APT28-actoren konden worden verzameld”, aldus de FBI.
Als onderdeel van de inspanningen om het botnet in de VS te ontwrichten en verdere criminaliteit te voorkomen, is een reeks niet-gespecificeerde opdrachten uitgegeven om de gestolen gegevens en kwaadaardige bestanden te kopiëren voordat ze worden verwijderd, en om de firewallregels aan te passen om de externe toegang van APT28 tot de routers te blokkeren.
Het precieze aantal apparaten dat in de VS is gecompromitteerd, is gecensureerd, hoewel de FBI opmerkte dat dit zou kunnen veranderen. Geïnfecteerde Ubiquiti-apparaten zijn in “bijna elke staat” gedetecteerd, voegde het eraan toe.
De door de rechtbank goedgekeurde operatie – Dying Ember genoemd – komt slechts enkele weken nadat de VS een andere door de staat gesponsorde hackcampagne uit China hebben ontmanteld, waarbij gebruik werd gemaakt van een ander botnet met de codenaam KV-botnet om kritieke infrastructuurfaciliteiten aan te vallen.
Afgelopen mei kondigden de VS ook de ontmanteling aan van een wereldwijd netwerk dat gecompromitteerd was door een geavanceerde malwaresoort genaamd Snake, gebruikt door hackers geassocieerd met de Russische Federale Veiligheidsdienst (FSB), ook wel bekend als Turla.
