FBI, Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü (GRU) tarafından kötü amaçlı trafiği temsil etmek ve hedef odaklı kimlik avı ve kimlik bilgisi hırsızlığı saldırılarıyla ABD ve müttefiklerini hedef almak için kullanılan küçük ofis/ev ofis (SOHO) yönlendiricilerinden oluşan bir botnet’i çökertti.
Moobot kötü amaçlı yazılımının bulaştığı yüzlerce Ubiquiti Edge OS yönlendiricisinden oluşan bu ağ, aynı zamanda APT28, Fancy Bear ve Sednit olarak da takip edilen GRU Askeri Birim 26165 tarafından kontrol ediliyordu.
Rus bilgisayar korsanlarının hedefleri arasında ABD ve yabancı hükümetler, askeri kuruluşlar, güvenlik ve kurumsal kuruluşlar yer alıyor.
“Bu botnet, GRU’nun onu sıfırdan oluşturmaması açısından Bakanlık tarafından kesintiye uğratılan önceki GRU ve Rusya Federal Güvenlik Servisi (FSB) kötü amaçlı yazılım ağlarından farklıydı. Bunun yerine GRU, bir kötü amaçlı yazılımla ilişkili ‘Moobot’ kötü amaçlı yazılımına güveniyordu. Adalet Bakanlığı, “bilinen suç grubu” dedi.
GRU (Rus Askeri İstihbaratı) ile bağlantısı olmayan siber suçlular, ilk olarak Ubiquiti Edge OS yönlendiricilerine sızdı ve Moobot kötü amaçlı yazılımını konuşlandırarak, yaygın olarak bilinen varsayılan yönetici şifreleriyle İnternet’e açık cihazları hedef aldı.
Daha sonra GRU bilgisayar korsanları, kendi özel kötü amaçlı araçlarını dağıtmak için Moobot kötü amaçlı yazılımından yararlandı ve botnet’i etkili bir şekilde küresel erişime sahip bir siber casusluk aracına dönüştürdü.
FBI, ele geçirilen yönlendiricilerde, web postası kimlik bilgilerini toplamak için Python komut dosyalarından NTLMv2 özetlerini çalmaya yönelik programlardan, kimlik avı trafiğini özel saldırı altyapısına yönlendiren özel yönlendirme kurallarına kadar çok çeşitli APT28 araçları ve yapıları keşfetti.
FBI kötü amaçlı yazılımları siliyor ve uzaktan erişimi engelliyor
Mahkemenin yetkilendirdiği “Ölüm Ember Operasyonu”nun bir parçası olarak, FBI ajanları ele geçirilen yönlendiricilere uzaktan erişti ve çalıntı ve kötü amaçlı veri ve dosyaları silmek için Moobot kötü amaçlı yazılımını kullandı.
Daha sonra, Moobot kötü amaçlı yazılımını sildiler ve aksi takdirde Rus siber casuslarının cihazlara yeniden virüs bulaştırmasına olanak verecek olan uzaktan erişimi engellediler.
“Ek olarak, mağdurlar güvenliği azaltıncaya ve tam kontrolü yeniden elde edene kadar GRU’nun yönlendiricilere erişimini etkisiz hale getirmek için, operasyon, cihazlara uzaktan yönetim erişimini engellemek için yönlendiricilerin güvenlik duvarı kurallarını tersine çevrilebilir şekilde değiştirdi ve operasyon sırasında, Adalet Bakanlığı, GRU’nun operasyonu engelleme girişimlerini açığa çıkaracak içerik dışı yönlendirme bilgilerinin geçici olarak toplanmasını sağladı.” dedi.
Operasyon, GRU’nun yönlendiricilere erişimini engellemenin yanı sıra, cihazların standart işlevselliğini bozmadı veya kullanıcı verilerini toplamadı. Dahası, yönlendiricilerin Moobot botnet’iyle olan bağlantısını kesen mahkeme onaylı eylemler yalnızca geçicidir.
Kullanıcılar, yönlendiricilerini fabrika ayarlarına sıfırlayarak veya yerel ağlar üzerinden erişerek FBI’ın güvenlik duvarı kurallarını tersine çevirebilir. Ancak, varsayılan yönetici şifresini değiştirmeden cihazların fabrika ayarlarına sıfırlanması, cihazların yeniden enfeksiyona maruz kalmasına neden olur.
Çin botnet kesintisi
Moobot, Çinli Volt Typhoon eyalet hackerları tarafından Ocak ayında kullanılan KV-botnet’in kaldırılmasının ardından 2024’te FBI tarafından bozulan tespitlerden kaçınmak için devlet destekli hackerlar tarafından kullanılan ikinci botnet’tir.
O zamandan bu yana, CISA ve FBI da SOHO yönlendirici üreticilerine, güvenli yapılandırma varsayılanlarının yardımıyla cihazlarını devam eden saldırılara karşı korumalarını ve geliştirme sırasında web yönetimi arayüzü kusurlarını ortadan kaldırmalarını teşvik eden bir kılavuz yayınladı.
APT28 siber casusluk grubu daha önce Alman Federal Parlamentosu’nun (Deutscher Bundestag) 2015’teki hacklenmesiyle bağlantılıydı.
Ayrıca, 2016’da Demokratik Kongre Kampanya Komitesi’ne (DCCC) ve Demokratik Ulusal Komite’ye (DNC) yönelik (iki yıl sonra ABD’de suçlanan) saldırıların da arkasında onlar vardı.
Avrupa Birliği Konseyi ayrıca Ekim 2020’de birden fazla APT28 üyesine 2015 Alman Federal Parlamentosu hacklenmesine karıştıkları için yaptırım uyguladı.