Ocak 2024’te bir operasyon, APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear ve Sednit olarak da bilinen GRU Askeri Birimi 26165 tarafından kontrol edilen yüzlerce SOHO yönlendiricisinden oluşan ağı dağıttı. Bu ağ, ABD ve yabancı hükümetler, ordu, kilit güvenlik ve kurumsal sektörler gibi Rus hükümetini ilgilendiren kuruluşlara karşı kapsamlı hedef odaklı kimlik avı ve kimlik bilgileri toplama da dahil olmak üzere çeşitli suçları kolaylaştırdı.
Bu botnet, GRU’nun onu sıfırdan oluşturmaması nedeniyle Bakanlık tarafından kesintiye uğratılan önceki GRU ve Rusya Federal Güvenlik Servisi (FSB) kötü amaçlı yazılım ağlarından farklıydı. Bunun yerine GRU, bilinen bir suç grubuyla ilişkili “Moobot” kötü amaçlı yazılımına güvendi.
GRU dışı siber suçlular, Moobot kötü amaçlı yazılımını hâlâ genel olarak bilinen varsayılan yönetici şifrelerini kullanan Ubiquiti Edge OS yönlendiricilerine yükledi. GRU bilgisayar korsanları daha sonra Moobot kötü amaçlı yazılımını kullanarak kendi özel komut dosyalarını ve botnet’i başka bir amaca uygun hale getiren dosyaları yükleyerek onu küresel bir siber casusluk platformuna dönüştürdü.
Bakanlığın mahkeme tarafından yetkilendirilen operasyonu, çalıntı ve kötü amaçlı veri ve dosyaları ele geçirilen yönlendiricilerden kopyalamak ve silmek için Moobot kötü amaçlı yazılımından yararlandı. Ek olarak, kurbanlar güvenliği azaltıncaya ve tam kontrolü yeniden elde edene kadar GRU’nun yönlendiricilere erişimini etkisiz hale getirmek için operasyon, cihazlara uzaktan yönetim erişimini engellemek üzere yönlendiricilerin güvenlik duvarı kurallarını tersine çevrilebilir şekilde değiştirdi ve operasyon sırasında geçici veri toplamayı etkinleştirdi. GRU’nun operasyonu engelleme girişimlerini açığa çıkaracak içerik dışı yönlendirme bilgileri.
FBI Direktörü Christopher Wray, “Rusya’nın GRU’su, botnet kampanyaları aracılığıyla ABD’yi kötü niyetle hedef almaya devam ediyor” dedi. “FBI, Rusya’nın küçük ve ev ofislerinin yanı sıra bireylere ait yüzlerce yönlendiriciye erişimini engellemek için teknik yeteneklerini kullandı. Bu tür suç niteliğindeki davranışlar kesinlikle kabul edilemez ve FBI, federal ve uluslararası ortaklarımızla koordineli olarak, Rusya’nın hiçbir hizmetinin Amerikan halkını ve müttefiklerimizi olumsuz etkilemesine izin vermeyecektir.”
Adalet Bakanlığı Ulusal Güvenlik Bölümü’nden Başsavcı Yardımcısı Matthew G. Olsen, “Bu benzersiz, ikiye bir operasyonda, Ulusal Güvenlik Bölümü ve ortakları, hem suç hem de devlet destekli aktörler tarafından kullanılan bir botnet’i bozdu” dedi. “Özellikle bu, Rusya’nın Ukrayna’yı haksız işgalinden bu yana, Bakanlığın Rusya istihbarat servislerini Kremlin’in saldırganlık eylemlerini ve diğer kötü niyetli faaliyetlerini ilerletmek için kullanılan önemli bir araçtan arındırdığı üçüncü kez anlamına geliyor. Kamuoyunu ve müttefiklerimizi bu tür tehditlerden korumak için yasal yetkilerimizi ve en ileri teknikleri kullanmaya, ortaklıklarımızın gücünden yararlanmaya devam edeceğiz.”
Pensilvanya’nın Doğu Bölgesinden Sorumlu ABD Başsavcısı Jacqueline C. Romero, “Bu, Rus askeri istihbaratının, hükümetin kötü niyetli amaçları doğrultusunda ortak cihaz ve teknolojileri silah haline getirdiğinin bir başka örneğidir” dedi. “Ulus devlet düşmanlarımız ABD ulusal güvenliğini bu şekilde tehdit etmeye devam ettiği sürece, biz ve ortaklarımız, kim ve nerede olurlarsa olsunlar siber haydutlarını engellemek için mevcut her aracı kullanacağız.”
Mahkeme belgelerinde açıklandığı gibi hükümet, ilgili Ubiquiti Edge OS yönlendiricileri üzerindeki işlemi kapsamlı bir şekilde test etti. İşlem, GRU’nun yönlendiricilere erişme yeteneğini engellemek dışında, yönlendiricilerin normal işlevselliğini etkilemedi veya meşru kullanıcı içeriği bilgilerini toplamadı. Ek olarak, yönlendiricilerin Moobot ağıyla bağlantısını kesmek için mahkeme tarafından yetkilendirilen adımlar geçicidir; kullanıcılar, yönlendiricilerini fabrika ayarlarına sıfırlayarak veya yönlendiricilerine yerel ağları üzerinden (örneğin, yönlendiricilerin web tabanlı kullanıcı arayüzü aracılığıyla) erişerek güvenlik duvarı kural değişikliklerini geri alabilirler. Ancak, varsayılan yönetici parolasında değişiklik yapılmayan fabrika ayarlarına sıfırlama, yönlendiriciyi varsayılan yönetici kimlik bilgilerine döndürerek, yönlendiriciyi yeniden bulaşmaya veya benzer tehlikelere açık bırakır.
FBI yakın zamanda ABD’nin kritik altyapısını hedef alan bir Çin botnet’ini bozdu.