ABD, Rus Askeri İstihbarat Botnet’ini Engelledi

Kolluk kuvvetleri, Ubiquity tarafından üretilen ve 2017 yılında anonim bir kodlayıcının kaynak kodunu çevrimiçi olarak sızdırmasının ardından ortaya çıkan Mirai solucanlanabilir botnet’in birçok varyasyonundan biri olan “Moobot” kötü amaçlı yazılımının bulaştığı yüzlerce yönlendiriciyi değiştirmek için emir aldı.

Kötü amaçlı yazılım, Linux tabanlı IoT cihazlarını, bu durumda New York’lu üretici Ubiquiti tarafından üretilen yönlendiricileri hedef alıyor. APT28, Fancy Bear ve Forest Blizzard olarak bilinen Moskovalı aktör, kimlik bilgileri toplama, Windows işletim sistemlerinden tek oturum açma karmalarını çalma ve özel araçları ve mızrakları barındırmak için saldırıya uğramış yönlendiricileri kullanma dahil olmak üzere bilgisayar korsanlığı operasyonları için ABD’de bulunan virüslü yönlendiricileri proxy olarak kullandı. – kimlik avı açılış sayfaları – Yahoo oturum açma web sitesine benzeyecek şekilde tasarlanmış olanlar da dahil.

Tehdit, Rus ordusunun GRU olarak da bilinen Ana İstihbarat Müdürlüğü tarafından yürütülüyor. Ubiquiti yorum talebine hemen geri dönüş yapmadı.

Ukraynalı siber savunucular bu ayın başlarında APT28’in, Rus işgaline ilişkin istihbaratı taklit eden e-postalar aracılığıyla askeri personele ve Ukrayna Savunma Kuvvetleri birimlerine karşı bir kimlik avı kampanyası başlattığı konusunda uyardı. Kurbanlar sayfayı açtığında, tehdit aktörleri kullanıcı kimlik bilgilerinin girilmesi için bir alan açar. Başka bir yem e-postası, kurbanları “şifreyi değiştir” düğmesini tıklamaya teşvik ediyor. Toplanan kimlik bilgileri, güvenliği ihlal edilmiş bir Ubiquiti yönlendiricisine iletilir.

Bir federal mahkeme, Moobot kötü amaçlı yazılımının yönlendiricilerini temizleyerek, bir uzaktan erişim yöntemini engelleyerek ve ardından uzaktan oturum açma girişimleri için yönlendiricileri izleyerek FBI’a botnet’i uzaktan kapatma yetkisi verdi. Emir aynı zamanda FBI’ın, Moskova korsanları tarafından çalınan, yönlendiricilerde saklanan, çalınan kullanıcı kimlik bilgileri ve dosyalar gibi verileri kopyalamasına da olanak tanıyor. Cihaz sahipleri isterlerse uzaktan erişimi yeniden sağlamak için FBI’ın güvenlik duvarı kurallarında yaptığı değişikliği tersine çevirebilir.

Başsavcı Merrick Garland, “Rus istihbarat servisleri, ev ve ofis yönlendiricilerini hedef almalarına yardımcı olmak için suç gruplarına başvurdu, ancak Adalet Bakanlığı onların planını devre dışı bıraktı” dedi.

Perşembe günkü kesinti duyurusu, federal yetkililerin devlet destekli bir botnet’i hareketsiz hale getirdiklerini iki ay içinde ikinci kez duyurmasıydı. Yetkililer Ocak ayında Çinli devlet aktörü Volt Typhoon tarafından işletilen bir botnet’i hedef aldı. Mandiant’ın baş analisti John Hultquist e-postayla yaptığı açıklamada, Botnet’in kaldırılması “her derde deva değil ve bu aktör yakında yeni bir planla geri dönecek” diye uyardı. Tehdit aktörleri iyileşip yeniden inşa edildikçe, botnet’in kaldırılması genellikle kalıcı olmama eğilimindedir; ancak sonraki operasyonları sıklıkla azalmaktadır (bkz.: Qakbot’un Dirilişinin Daha Fazla İşareti).

Hultquist, yine de “seçimler yaklaşırken, GRU operasyonlarına sürtüşme eklemek için bundan daha iyi bir zaman olamaz” diye ekledi. APT28 muhtemelen Demokratik Ulusal Komite’ye girip e-postaları çevrimiçi sızdırarak ABD 2016 seçimlerinin sonucunu etkiledi.

Federal kolluk kuvvetleri, Moobot’un, meşru OpenSSH’nin yayınlamadığı bir sürüm olarak numaralandırılmış bir OpenSSH arka kapısı yerleştirmek için internete açık sistem yöneticisi panellerindeki varsayılan kimlik bilgilerini kullanarak Ubiquiti yönlendiricilerine bulaştığını söyledi. FBI, APT28’in sahte OpenSSH sürüm numarasını bulmak için interneti tarayarak Moobot ağını kullanmaya geldiğine inanıyor.