Το FBI κατέρριψε το Moobot botnet που αποτελούνταν από office/home office (SOHO) routers και χρησιμοποιούνταν από τους Ρώσους hackers της GRU για την προώθηση κακόβουλου traffic και για τη στόχευση των Ηνωμένων Πολιτειών και των συμμάχων τους.
Αυτό το δίκτυο εκατοντάδων Ubiquiti Edge OS routers που είχαν μολυνθεί με κακόβουλο λογισμικό Moobot ελεγχόταν από τη Στρατιωτική Μονάδα 26165 της GRU, η οποία είναι γνωστή και ως APT28, Fancy Bear και Sednit.
Οι Ρώσοι hackers στόχευαν αμερικανικές και άλλες κυβερνήσεις, στρατιωτικές οντότητες, οργανισμούς ασφαλείας και εταιρείες.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ, αυτό το botnet ήταν διαφορετικό από τα προηγούμενα δίκτυα που χρησιμοποιούσαν οι Ρώσοι hackers, καθώς δεν το δημιούργησαν από την αρχή. Βασίστηκαν στο malware “Moobot”.
Δείτε επίσης: Το Glupteba botnet αποφεύγει την ανίχνευση με ένα UEFI Bootkit
Κυβερνοεγκληματίες που δεν συνδέονται με τη GRU (Ρωσική Στρατιωτική Υπηρεσία Πληροφοριών) διείσδυσαν για πρώτη φορά σε Ubiquiti Edge OS routers και ανέπτυξαν το κακόβουλο λογισμικό Moobot, στοχεύοντας εκτεθειμένες συσκευές στο Διαδίκτυο, με γνωστούς προεπιλεγμένους κωδικούς πρόσβασης διαχειριστή.
Στη συνέχεια, οι Ρώσοι hackers της GRU χρησιμοποίησαν το Moobot malware για να αναπτύξουν τα δικά τους custom εργαλεία, επαναχρησιμοποιώντας ουσιαστικά το botnet για να κατασκοπεύσουν οργανισμούς σε όλο τον κόσμο.
Το FBI ανακάλυψε σε παραβιασμένους routers διάφορα εργαλεία της ομάδας APT28. Αυτά περιελάμβαναν Python scripts για τη συλλογή webmail credentials, προγράμματα για την κλοπή NTLMv2 digests, custom routing rules που ανακατεύθυναν το phishing traffic σε υποδομή των επιτιθέμενων και άλλα.
Το FBI “χτυπά” το Moobot botnet
Με άδεια από το δικαστήριο, το FBI απέκτησε απομακρυσμένη πρόσβαση στους παραβιασμένους routers και χρησιμοποίησε το ίδιο το κακόβουλο λογισμικό Moobot τη διαγραφή κλεμμένων και κακόβουλων δεδομένων.
Στη συνέχεια, οι πράκτορες διέγραψαν το Moobot malware και απέκλεισαν την απομακρυσμένη πρόσβαση, ώστε να μην μπορούν οι Ρώσοι hackers να μολύνουν νέες συσκευές.
Δείτε επίσης: Οι χειριστές του KV-Botnet προσπαθούν να επανέλθουν μετά τις ενέργειες του FBI
Οι πράκτορες τροποποίησαν τα firewall rules των routers για να εμποδίσουν την απομακρυσμένη διαχείριση στις συσκευές, μέχρι οι χρήστες να λάβουν τα κατάλληλα μέτρα για να προστατεύσουν τις συσκευές τους.
Παρόλο που παρεμποδίστηκε η πρόσβαση της GRU στους routers, δεν σταμάτησε η τυπική λειτουργικότητα των συσκευών ούτε συγκεντρώθηκαν δεδομένα χρήστη. Επιπλέον, οι ενέργειες που διέκοψαν τη σύνδεση των routers με το botnet Moobot είναι προσωρινές.
Οι χρήστες μπορούν να αντιστρέψουν τα firewall rules του FBI κάνοντας επαναφορά στις εργοστασιακές ρυθμίσεις των routers ή αποκτώντας πρόσβαση σε αυτούς μέσω των τοπικών δικτύων. Ωστόσο, η επαναφορά των συσκευών χωρίς αλλαγή του προεπιλεγμένου κωδικού πρόσβασης διαχειριστή θα τις εκθέσει σε νέα μόλυνση.
Προστασία από malware botnet
Για να προστατευτείτε από το Moobot Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις botnet συχνά εκμεταλλεύονται γνωστές ευπάθειες που έχουν διορθωθεί σε πιο πρόσφατες εκδόσεις του λογισμικού.
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Moobot Botnet. Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης, οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Δείτε επίσης: Αυξημένη δραστηριότητα botnet τον τελευταίο μήνα
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: www.bleepingcomputer.com