Rząd USA ogłosił niedawno, że przerwał działanie botnetu rzekomo należącego do rosyjskiego GRU. Władze uważają, że służby wywiadowcze wykorzystywały botnet do szkodliwych operacji, w tym ataków phishingowych, zbierania danych uwierzytelniających, szpiegostwa i kradzieży danych przeciwko celom strategicznym i zagranicznym rządom.
Ponad tysiąc routerów w małych firmach i domach zaangażowanych w botnet
Likwidacja botnetu była częścią prawnie usankcjonowanej operacji przeprowadzonej w styczniu, w wyniku której usunięto zagrożenia z ponad 1000 routerów w małych firmach i domach, a wszystkie zostały zainfekowane złośliwym oprogramowaniem Moobot.
Według dyrektora FBI Christophera Wraya Moobot to odmiana złośliwego oprogramowania Mirai, znanego ze swojej zdolności do przekształcania urządzeń z systemem Linux w zombie, przekształcania ich w zdalnie sterowane boty, integrowania ich z botnetami i wykorzystywania ich w atakach sieciowych na dużą skalę.
Podobnie jak szkodliwe oprogramowanie, które go zainspirowało, Moobot umożliwia cyberprzestępcom zdalne zarządzanie zainfekowanymi urządzeniami i wykorzystywanie ich do ukierunkowanych ataków na wybrane ofiary.
Złośliwe sieci kontrolowane przez GRU
Niedawno zdemontowany botnet różni się od wcześniejszych szkodliwych sieci obsługiwanych przez GRU i rosyjską Federalną Służbę Bezpieczeństwa (FSB). Zamiast tworzyć go od zera, GRU wykorzystało Moobota, złośliwe oprogramowanie powiązane ze znanym syndykatem cyberprzestępczym, jako podstawę swoich złośliwych działań.
„Cyberprzestępcy spoza GRU zainstalowali złośliwe oprogramowanie Moobot na routerach Ubiquiti Edge OS, które nadal korzystały z publicznie znanych domyślnych haseł administratora” – oznajmił Departament Sprawiedliwości Stanów Zjednoczonych (DoJ) w komunikacie prasowym. „Następnie hakerzy GRU wykorzystali złośliwe oprogramowanie Moobot do zainstalowania własnych, dostosowanych do potrzeb skryptów i plików, które zmieniły przeznaczenie botnetu, przekształcając go w globalną platformę cyberszpiegowską”.
Podmioty zagrażające wykorzystywały szkodliwe zdolności bota do cyberprzestępstw, takich jak phishing spear i pozyskiwanie danych uwierzytelniających, przeciwko celom strategicznym, takim jak rządy Stanów Zjednoczonych i innych krajów, a także organizacje korporacyjne i organizacje zajmujące się bezpieczeństwem.
Botnet usunięty, prawowici właściciele przejmą kontrolę nad routerami
Według Departamentu Sprawiedliwości władze poleciły Moobotowi „skopiować oraz usunąć skradzione i złośliwe dane oraz pliki z zaatakowanych routerów”.
Zmienili ustawienia zapory ogniowej routerów, aby blokować zdalny dostęp, utrudniając GRU infiltrowanie urządzeń do czasu, aż prawowici właściciele będą mogli bezpiecznie odzyskać kontrolę. Ustanowili także tymczasowe rozwiązanie polegające na gromadzeniu danych o routingu niezwiązanych z zawartością z urządzeń, których dotyczy problem, w celu ujawnienia wszelkich wysiłków GRU mających na celu zakłócenie operacji.
Z botnetami nie ma żartów, ale można je utrzymać w ryzach
Nie należy lekceważyć zagrożeń stwarzanych przez botnety: służą one jako niszczycielska siła w krajobrazie zagrożeń, a ich skuteczność rośnie z każdym urządzeniem, które dołącza do szeregów tej cyfrowej hordy zaatakowanych systemów.
Włączenie Twojego urządzenia do botnetu może oznaczać katastrofę. Umożliwia cyberprzestępcom przejęcie zdalnej kontroli nad Twoim systemem, narażając Twoje dane, dokumenty oraz zasoby cyfrowe i fizyczne. Co więcej, Twoje urządzenie może być zaangażowane w złożone działania cyberprzestępcze bez Twojej zgody i wiedzy.
Dedykowane oprogramowanie antywirusowe może zapewnić Ci przewagę nad botnetami i ich stale rosnącym zasięgiem, udaremniając ich rozprzestrzenianie się w Twojej sieci i chroniąc Cię przed wszelkim powiązanym z nimi złośliwym oprogramowaniem. Bitdefender Total Security może chronić Cię przed botnetami, wirusami, robakami, trojanami, exploitami dnia zerowego, oprogramowaniem ransomware, oprogramowaniem szpiegującym, rootkitami i innymi włamaniami cyfrowymi.