ФБР совместно с бельгийским CCB нейтрализовали MooBot: шпионский сайт для России

ФБР вместе с несколькими партнерами разрушило вредоносный ботнет. Среди прочего, этот шаг поддержал Центр кибербезопасности Бельгии (CCB). Они также поделились дополнительной информацией о разоружении MooBot, связанной с российской разведкой.

В январе этого года Служба безопасности США я был занят Отключив ботнет. Речь идет о MooBot, у которого есть более тысячи маршрутизаторов SOHO, подходящих для малого и среднего бизнеса и домашнего использования.

ФБР координировало операцию по нейтрализации ботнета и получило помощь от властей ряда стран. Центр кибербезопасности Бельгии (CCB) выглядит вот так помогать Для обнаружения и удаления зараженных маршрутизаторов в Бельгии. В операции приняли участие и другие европейские чиновники из Франции, Германии, Латвии, Литвы, Норвегии, Польши и Великобритании.

«Удобно для киберпреступников»

Выведенный из эксплуатации ботнет состоял из взломанных Ubiquiti EdgeRouters. Эти маршрутизаторы принадлежат спонсируемым государством хакерским группам России: APT28, Fancy Bear и Forest Blizzard. Эти хакерские группы используют ботнеты для Российской разведывательной службы (ГРУ).

CCB сообщает, что эти Ubiquiti EdgeRouters широко используются по всему миру. Они также знают, что это результат удобства использования. Однако удобство использования имеет и отрицательную сторону, как сообщает центр нашей редакции: «Этот популярный продукт на базе Linux очень удобен для пользователей и, к сожалению, для киберпреступников». Для взлома роутеров киберпреступникам нужно не что иное, как пароль, которым устройства защищены по умолчанию с завода.

При этом пользователи зараженных роутеров не получат никакого сигнала о присутствии ботнета. Обнаружение заражения киберпреступниками в случае ботнета затруднено. Например, при использовании Qakbot существенное влияние на конечного пользователя оказывает замедление системы и увеличение сетевого трафика. Cuckbot — крупнейший глобальный ботнет, подключенный как минимум к 700 000 компьютеров.

читать далее: Cuckbot: Как власти ликвидировали крупнейший в мире ботнет

Шпионский сайт

Так что размер MooBot был во много раз меньше. Однако киберпреступники, взявшие под свой контроль ботнет, смогли использовать его для совершения ряда уголовных преступлений. «Эти преступления включают в себя крупномасштабный целевой фишинг и аналогичные кампании по сбору учетных данных против объектов, представляющих интерес для российского правительства», — заявили в агентстве. А Совместный отчет о действиях Подробности говорят, что преступники APT28 используют зараженные маршрутизаторы как минимум с 2022 года.

APT28 действительно осуществляла преступную деятельность, обвиненную ГРУ, но, привлекая хакерские банды, они не могли напрямую связать их с разведкой. Пострадавшие отрасли включают аэрокосмическую, оборонную, образовательную, энергетическую и коммунальную сферы, правительство, технологии и производство. «Целевые страны включают Чехию, Италию, Литву, Иорданию, Черногорию, Польшу, Словакию, Турцию, Украину, Объединенные Арабские Эмираты и США».

Хакеры ГРУ активизировались после кражи систем. «Хакеры ГРУ использовали вредоносное ПО Moobot для установки собственных скриптов и файлов, чтобы воссоздать ботнет и превратить его в глобальную платформу кибершпионажа», — заявило агентство безопасности США.

Действия против реструктуризации

ФБР рекомендовало владельцам Ubiquiti EdgeRouters отключить ботнет. CCB предоставил информацию бельгийским компаниям, занимающимся эксплуатацией маршрутизаторов. Сторонам предлагается выполнить сброс оборудования до заводских настроек, обновить прошивку до последней версии, изменить пароль по умолчанию и установить правила брандмауэра. Эти меры удаляют вредоносные файлы и предотвращают доступ киберпреступников к устройствам через службы удаленного управления.

Остается неясным, полностью ли отключила MooBot международная операция. Например, в случае с Cockbot исследователи безопасности обнаружили доказательства того, что ботнет был восстановлен через несколько месяцев после его уничтожения.