ABD hükümeti Perşembe günü yaptığı açıklamada, Rusya bağlantılı APT28 aktörünün kötü niyetli faaliyetlerini gizlemek için kullandığı, ülkedeki yüzlerce küçük ofis ve ev ofisi (SOHO) yönlendiricisinden oluşan bir botnet’in bozulduğunu söyledi.
ABD Adalet Bakanlığı (DoJ), “Bu suçlar, ABD ve yabancı hükümetler ile askeri, güvenlik ve kurumsal kuruluşlar gibi Rus hükümetini ilgilendiren istihbarat hedeflerine yönelik geniş çaplı hedef odaklı kimlik avı ve benzeri kimlik toplama kampanyalarını içeriyordu.” dedi. ifade.
BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (eski adıyla Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy ve TA422 takma adlarıyla da takip edilen APT28’in, Rusya’nın Ana Müdürlüğünün 26165 Birimi ile bağlantılı olduğu değerlendiriliyor. Genelkurmay (GRU). En az 2007’den beri aktif olduğu biliniyor.
Mahkeme belgeleri, saldırganların siber casusluk kampanyalarını, Ubiquiti tarafından üretilen yönlendiricileri vekil görevi görecek şekilde değiştirilebilecek bir cihaz ağına dahil etmek için seçen Mirai tabanlı bir botnet olan MooBot’a güvenerek gerçekleştirdiklerini iddia ediyor. gerçek IP adreslerini korurken kötü amaçlı trafiği aktarıyor.
DoJ, botnet’in, tehdit aktörlerinin gerçek konumlarını maskelemelerine ve özel komut dosyaları aracılığıyla kimlik bilgilerini ve NT LAN Manager (NTLM) v2 karmalarını toplamalarına olanak tanıdığını ve aynı zamanda hedef odaklı kimlik avı açılış sayfalarını ve kaba kuvvetle parola oluşturmaya yönelik diğer özel araçları barındırmasını sağladığını söyledi. , yönlendirici kullanıcı şifrelerini çalmak ve MooBot kötü amaçlı yazılımını diğer cihazlara yaymak.
ABD Federal Soruşturma Bürosu (FBI) tarafından sunulan, düzeltilmiş bir beyanda kurum, MooBot’un varsayılan kimlik bilgilerini kullanarak savunmasız ve kamuya açık Ubiquiti yönlendiricilerinden yararlandığını ve cihaza kalıcı uzaktan erişime izin veren bir SSH kötü amaçlı yazılımı yerleştirdiğini söyledi.
DoJ, “GRU dışı siber suçlular, Moobot kötü amaçlı yazılımını, hâlâ kamuya açık olarak bilinen varsayılan yönetici şifrelerini kullanan Ubiquiti Edge OS yönlendiricilerine yükledi” diye açıkladı. “GRU bilgisayar korsanları daha sonra Moobot kötü amaçlı yazılımını kullanarak kendi özel komut dosyalarını ve botnet’i başka bir amaca uygun hale getiren dosyaları yükleyerek onu küresel bir siber casusluk platformuna dönüştürdü.”
APT28 aktörlerinin, bir arama parametresi olarak belirli bir OpenSSH sürüm numarasını kullanarak internette genel taramalar gerçekleştirerek ve ardından bu yönlendiricilere erişmek için MooBot’u kullanarak, güvenliği ihlal edilmiş Ubiquiti yönlendiricilerini bulduklarından ve bunlara yasa dışı olarak eriştiklerinden şüpheleniliyor.
Bilgisayar korsanlığı grubu tarafından gerçekleştirilen hedef odaklı kimlik avı kampanyaları, oturum açma kimlik bilgilerini sifonlamak ve bunları yönlendiricilere iletmek için Outlook’taki sıfırıncı günden (CVE-2023-23397) yararlandı.
FBI, “Belirlenen başka bir kampanyada, APT28 aktörleri, sahte sayfaya girilen kimlik bilgilerini, APT28 aktörleri tarafından uygun zamanda toplanacak, güvenliği ihlal edilmiş bir Ubiquiti yönlendiricisine göndermek için sahte bir Yahoo! açılış sayfası tasarladılar” dedi.
ABD’deki botnet’i bozma ve daha fazla suçu önleme çabalarının bir parçası olarak, çalınan verileri ve kötü amaçlı dosyaları silmeden önce kopyalamak ve APT28’in yönlendiricilere uzaktan erişimini engellemek için güvenlik duvarı kurallarını değiştirmek için bir dizi belirtilmemiş komut yayınlandı.
ABD’de güvenliği ihlal edilen cihazların kesin sayısı sansürlendi, ancak FBI bunun değişebileceğini belirtti. Virüs bulaşmış Ubiquiti cihazlarının “neredeyse her eyalette” tespit edildiği belirtildi.
Mahkeme tarafından yetkilendirilen ve Dying Ember olarak anılan operasyon, ABD’nin, kritik altyapı tesislerini hedef almak için KV-botnet kod adlı başka bir botnet kullanan, Çin kaynaklı başka bir devlet destekli hackleme kampanyasını ortadan kaldırmasından yalnızca birkaç hafta sonra gerçekleşti.
Geçtiğimiz mayıs ayında ABD, Rusya Federal Güvenlik Servisi (FSB) (Turla olarak da bilinir) ile bağlantılı bilgisayar korsanları tarafından kullanılan Snake adlı gelişmiş bir kötü amaçlı yazılım türü tarafından tehlikeye atılan küresel bir ağın çökertildiğini de duyurdu.