Adalet Bakanlığı (DoJ), Rus askeri istihbaratının yaygın siber casusluk için kullandığı bir botnet’i bozdu.
Ağ, Rus Askeri Birimi 26165’in (daha iyi bilinen adıyla) yüzlerce bireysel küçük ofis/ev ofisi (SOHO) yönlendiricisinden oluşuyordu. Fantezi Ayı, APT 28, DoJ’a göre Sofacy Group, Forest Blizzard, Pawn Storm ve Sednit), hedef odaklı kimlik avı, kimlik bilgileri toplama ve daha fazlasını içeren siber suçları başlatmak için kullanabildi.
Adalet Bakanlığı, Rusya devletine bağlı tehdit aktörleri tarafından tipik olarak kullanılan diğer özel kodlu ağlardan farklı olarak, bu ağların Moobot adı verilen ve bilinen diğer siber suçlu aktörlerle bağlantılı mevcut kötü amaçlı yazılımlar üzerine kurulduğunu belirtti. ifade
.
DoJ, “GRU dışı siber suçlular, Moobot kötü amaçlı yazılımını, hâlâ kamuya açık olarak bilinen varsayılan yönetici şifrelerini kullanan Ubiquiti Edge OS yönlendiricilerine yükledi” diye açıkladı. “GRU bilgisayar korsanları daha sonra Moobot kötü amaçlı yazılımını kullanarak kendi özel komut dosyalarını ve botnet’i başka bir amaca uygun hale getiren dosyaları yükleyerek onu küresel bir casusluk platformuna dönüştürdü.”
DoJ’a göre ABD kolluk kuvvetleri, Moobot kötü amaçlı yazılımını, güvenliği ihlal edilmiş yönlendiricilere sızmak, çalınan verileri kopyalayıp silmek, kötü amaçlı dosyaları kaldırmak, tam cihaz kontrolünü yeniden kazanmak ve ayrıca her türlü uzaktan erişimi engellemek için kullanabildi.
ABD hükümeti, etkilenen Ubiquiti US Edge OS yönlendiricilerinin Moobot ağlarıyla bağlantısının kesildiğini ve cihazlarda yapılan değişikliklerin geçici olduğunu söyledi. DoJ, kullanıcıları etkilenen yönlendiricilerde fabrika ayarlarına sıfırlama işlemini tamamlamaya ve varsayılan yönetici şifrelerini güncellemeye çağırıyor.
Casusluk Çabalarını Yavaşlatmanın Değeri
Başsavcı Yardımcısı Lisa Monaco, bunun Adalet Bakanlığı’nın iki ay içinde ikinci kez bir kesintiye uğradığını belirtti. devlet destekli botnet. Mandiant Intelligence-Google Cloud’un baş analisti Jeff Hultquist, bu operasyonun tek başına Rus siber casusluk operasyonları üzerinde önemli bir etki yaratmasının muhtemel olmadığını ancak bu kesintilerle ilgili çabaları yavaşlatmanın değerli olduğunu söyledi.
Hultquist yaptığı açıklamada, “Bu eylemler her derde deva değil ve bu aktör yakında yeni bir planla geri dönecek, ancak seçimler yaklaşırken GRU operasyonlarına sürtüşme eklemek için bundan daha iyi bir zaman hiç olmadı” dedi. “Yaptıkları hack ve sızıntı operasyonları seçimlerde tanık olduğumuz en etkili siber saldırı olabilir ve bu taktiği bir daha tekrarlamayacaklarına inanmamız için hiçbir neden yok.”