Le FBI a démantelé un botnet de petits routeurs de bureau/bureau à domicile (SOHO) utilisés par la Principale Direction du renseignement de l’État-major général (GRU) de Russie dans des attaques de spearphishing et de vol d’identifiants ciblant les États-Unis et ses alliés.
Ce réseau de centaines de routeurs Ubiquiti Edge OS infectés par le malware Moobot était contrôlé par l’unité militaire 26165 du GRU, également connue sous les noms d’APT28, Fancy Bear et Sednit.
Les cibles des pirates russes comprennent des gouvernements américains et étrangers, des entités militaires, des organisations de sécurité et des entreprises.
« Ce botnet était distinct des précédents réseaux malveillants du GRU et du Service fédéral de sécurité russe (FSB) perturbés par le Département en ce que le GRU ne l’a pas créé à partir de zéro. Au lieu de cela, le GRU s’est appuyé sur le logiciel malveillant » Moobot », qui est associé à un groupe criminel connu », a déclaré le ministère de la Justice.
Les cybercriminels non liés au GRU (Renseignement militaire russe) ont d’abord infiltré les routeurs Ubiquiti Edge OS et déployé le malware Moobot, ciblant les appareils exposés à Internet avec des mots de passe d’administrateur par défaut largement connus.
Par la suite, les pirates du GRU ont exploité le logiciel malveillant Moobot pour déployer leurs propres outils malveillants personnalisés, transformant efficacement le botnet en un outil de cyberespionnage de portée mondiale.
Le FBI efface les logiciels malveillants et bloque l’accès à distance
Au cours d’une opération autorisée par le tribunal, des agents du FBI ont accédé à distance aux routeurs compromis et ont utilisé le logiciel malveillant Moobot lui-même pour supprimer les données et fichiers volés et malveillants.
Ensuite, ils ont supprimé le logiciel malveillant Moobot et bloqué l’accès à distance qui aurait autrement permis aux cyberespions russes de réinfecter les appareils.
« De plus, afin de neutraliser l’accès du GRU aux routeurs jusqu’à ce que les victimes puissent atténuer la compromission et reprendre le contrôle total, l’opération a modifié de manière réversible les règles de pare-feu des routeurs pour bloquer l’accès à la gestion à distance des appareils, et au cours de l’opération, a permis la collecte temporaire d’informations de routage non liées au contenu qui exposeraient les tentatives du GRU de contrecarrer l’opération », a déclaré le ministère de la Justice.
En plus de contrecarrer l’accès du GRU aux routeurs, l’opération n’a pas perturbé les fonctionnalités standard des appareils ni collecté les données des utilisateurs. De plus, les actions sanctionnées par les tribunaux qui ont rompu le lien des routeurs avec le botnet Moobot ne sont que temporaires.
Les utilisateurs peuvent inverser les règles de pare-feu du FBI en réinitialisant leurs routeurs en usine ou en y accédant via les réseaux locaux. Cependant, la réinitialisation d’usine des périphériques sans modifier le mot de passe administrateur par défaut les exposera à une réinfection.
Qui est APT28?
Le groupe de cyberespionnage APT28 était auparavant lié au piratage du Parlement fédéral allemand (Deutscher Bundestag) en 2015.
Ils étaient également à l’origine d’attaques contre le Comité de campagne du Congrès démocrate (DCCC) et le Comité national démocrate (DNC) en 2016 (pour lesquelles ils ont été inculpés aux États-Unis deux ans plus tard).
Le Conseil de l’Union européenne a également sanctionné plusieurs membres d’APT28 en octobre 2020 pour leur implication dans le piratage du Parlement fédéral allemand de 2015.
Moobot est le deuxième botnet utilisé par les pirates informatiques parrainés par l’État pour échapper à la détection perturbée par le FBI en 2024 après le démantèlement du botnet KV utilisé par les pirates informatiques de l’État chinois Volt Typhoon en janvier.
Depuis lors, la CISA et le FBI ont également publié des directives à l’intention des fabricants de routeurs SOHO, les exhortant à sécuriser leurs appareils contre les attaques en cours à l’aide de paramètres de configuration sécurisés par défaut et en éliminant les failles de l’interface de gestion Web pendant le développement.