The FBI κατέρριψε το Moobot botnet που αποτελούνταν από office/home office (SOHO) routers και χρησιμοποιούνταν από τους Ρώσους hackers της GRU για την προώθηση κακόβουλου traffic και για τη στόχευση των Ηνωμένων Πολιτειών και των συμμάχων τους.
Αυτό το δίκτυο εκατοντάδων Ubiquiti Edge OS routers που είχαν μολυνθεί με malware Moobot ελεγχόταν από τη Στρατιωτική Μονάδα 26165 της GRU, η οποία είναι γνωστή και ως APT28, Fancy Bear και Sednit.
Οι Ρώσοι hackers στόχευαν αμερικανικές και άλλες κυβερνήσεις, στρατιωτικές οντότητες, οργανισμούς ασφαλείας και εταιρείες.
Σύμφωνα με το Υπουργείο Δικαιοσύνης των ΗΠΑ, αυτό το botnet ήταν διαφορετικό από τα προηγούμενα δίκτυα που χρησιμοποιούσαν οι Ρώσοι hackers, καθώς δεν το δημιούργησαν από την αρχή. Βασίστηκαν στο malware “Moobot”.
 routers και χρησιμοποιούνταν από τη Ρωσική GRU){kind=link}
See also: The Glupteba botnet evades detection with a UEFI Bootkit
Κυβερνοεγκληματίες που δεν συνδέονται με τη GRU (Ρωσική Στρατιωτική Υπηρεσία Πληροφοριών) διείσδυσαν για πρώτη φορά σε Ubiquiti Edge OS routers και ανέπτυξαν το κακόβουλο λογισμικό Moobot, στοχεύοντας εκτεθειμένες συσκευές στο Internet, με γνωστούς προεπιλεγμένους κωδικούς πρόσβασης διαχειριστή.
Στη συνέχεια, οι Ρώσοι hackers της GRU χρησιμοποίησαν το Moobot malware για να αναπτύξουν τα δικά τους custom εργαλεία, επαναχρησιμοποιώντας ουσιαστικά το botnet για να κατασκοπεύσουν οργανισμούς σε όλο τον κόσμο.
Το FBI ανακάλυψε σε παραβιασμένους routers διάφορα εργαλεία της ομάδας APT28. Αυτά περιελάμβαναν Python scripts για τη συλλογή webmail credentials, προγράμματα για την κλοπή NTLMv2 digests, custom routing rules που ανακατεύθυναν το phishing traffic σε υποδομή των επιτιθέμενων και άλλα.
Το FBI “χτυπά” το Moobot botnet
By άδεια από το δικαστήριο, the FBI απέκτησε απομακρυσμένη πρόσβαση στους παραβιασμένους routers και χρησιμοποίησε το ίδιο το κακόβουλο λογισμικό Moobot τη διαγραφή κλεμμένων και κακόβουλων δεδομένων.
Στη συνέχεια, οι πράκτορες διέγραψαν το Moobot malware και απέκλεισαν την απομακρυσμένη πρόσβαση, ώστε να μην μπορούν οι Ρώσοι hackers να μολύνουν νέες συσκευές.
See also: KV-Botnet operators try to recover after FBI actions
Οι πράκτορες τροποποίησαν τα firewall rules των routers για να εμποδίσουν την απομακρυσμένη διαχείριση στις συσκευές, μέχρι οι χρήστες να λάβουν τα κατάλληλα μέτρα για να προστατεύσουν τις συσκευές τους.
Παρόλο που παρεμποδίστηκε η πρόσβαση της GRU στους routers, δεν σταμάτησε η τυπική λειτουργικότητα των συσκευών ούτε συγκεντρώθηκαν data χρήστη. Επιπλέον, οι ενέργειες που διέκοψαν τη σύνδεση των routers με το botnet Moobot είναι προσωρινές.
Οι χρήστες μπορούν να αντιστρέψουν τα firewall rules του FBI κάνοντας επαναφορά στις εργοστασιακές ρυθμίσεις των routers ή αποκτώντας Accessed at σε αυτούς μέσω των τοπικών δικτύων. Ωστόσο, η επαναφορά των συσκευών χωρίς αλλαγή του προεπιλεγμένου κωδικού πρόσβασης διαχειριστή θα τις εκθέσει σε νέα μόλυνση.
Protection against botnet malware
Για να προστατευτείτε από το Moobot Botnet, είναι σημαντικό να διατηρείτε the software and operating system of your device are up to date. The attacks botnets often exploit known vulnerabilities that have been fixed in more recent versions of the software.
In addition, it is important to use a reliable security program that provides protection against malware and botnets. This should include running regular scans to detect and remove any attacks.
Η use strong passwords and change them regularly είναι άλλος ένας τρόπος για να προστατευθείτε από το Moobot Botnet. Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς Accessed at, so using strong passwords and changing them regularly can help protect your accounts.
See also: Increased botnet activity in the last month
Finally, the safety training of information can be particularly useful. Understanding the ways in which botnet attacks work and the techniques they use can help you identify and avoid botnet attacks. attacks.
Source : www.bleepingcomputer.com