US-Regierung zerschlägt russisches Cyberspionage-Botnetz
Die US-Regierung hat ein Bot-Netzwerk mit Hunderten von Routern für kleine Büros und Heimbüros (SOHO) aufgedeckt und zerstört. Dieses Netzwerk, das in den USA aktiv war, wurde von der mit Russland verbundenen Gruppe APT28 benutzt, um ihre schädlichen Aktionen zu verschleiern.
Laut einer Erklärung des US-Justizministeriums (DoJ) umfassten die Verbrechen umfangreiche Spear-Phishing- und ähnliche Kampagnen, bei denen Anmeldeinformationen gesammelt wurden. Die Ziele waren von nachrichtendienstlichem Interesse für die russische Regierung, darunter US-amerikanische und ausländische Regierungen sowie Militär-, Sicherheits- und Unternehmensorganisationen.
Die Gruppe APT28, auch bekannt als BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (ehemals Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy und TA422, wird mit der Einheit 26165 der russischen Generalstabsdirektion (GRU) in Verbindung gebracht. Diese Einheit ist seit mindestens 2007 aktiv.
Laut den Gerichtsdokumenten nutzten die Angreifer ein Botnetz namens MooBot, das auf der Mirai-Technologie basiert, um ihre Cyberspionage-Kampagnen durchzuführen. Sie haben Router von Ubiquiti ins Visier genommen und sie in ein Netzwerk von Geräten eingebunden. Diese Geräte wurden so umprogrammiert, dass sie als Vermittler fungierten und den bösartigen Datenverkehr weiterleiteten, während ihre echten IP-Adressen verborgen blieben.
Das Botnetz ermöglichte es den Angreifern, ihre wahre Identität zu verschleiern und verschiedene Angriffe durchzuführen, darunter das Sammeln von Anmeldedaten und NT LAN Manager (NTLM) v2-Hashes. Sie konnten auch Spear-Phishing-Landingpages und andere Tools hosten, um Passwörter zu erzwingen, Router-Benutzerpasswörter zu stehlen und die MooBot-Malware auf andere Geräte zu verbreiten.
Gemäß einem Affidavit des U.S. Federal Bureau of Investigation (FBI) nutzte MooBot die Schwachstellen von öffentlich zugänglichen Ubiquiti-Routern aus, indem es Standard-Anmeldeinformationen verwendete und eine SSH-Malware installierte, um einen dauerhaften Fernzugriff zu ermöglichen.
Das US-Justizministerium erklärte, dass nicht mit der russischen GRU verbundene Cyberkriminelle die MooBot-Malware auf Ubiquiti Edge OS-Routern installierten, die immer noch die Standard-Administrator-Passwörter verwendeten. Dann nutzten GRU-Hacker die MooBot-Malware, um ihre eigenen Anpassungen vorzunehmen und das Botnetz in eine weltweite Cyberspionage-Plattform umzuwandeln.
Es wird angenommen, dass die APT28-Gruppe kompromittierte Ubiquiti-Router entdeckt und sich unerlaubten Zugang verschafft hat. Dazu haben die Akteure offenbar öffentliche Internet-Scans durchgeführt, um nach bestimmten OpenSSH-Versionen zu suchen, um dann über MooBot auf diese Router zuzugreifen.
Die Hacker der Gruppe führten auch Spear-Phishing-Angriffe durch, bei denen sie eine damalige Zero-Day-Schwachstelle in Outlook (CVE-2023-23397) ausnutzten, um Anmeldedaten zu stehlen und an die Router zu senden.
„In einer anderen Kampagne haben die APT28-Hacker eine gefälschte Yahoo!-Seite erstellt, um Anmeldedaten zu sammeln, die dann an einen von ihnen kompromittierten Ubiquiti-Router gesendet wurden“, so das FBI.
Um das Botnetz in den USA zu stoppen und zukünftige Angriffe zu verhindern, wurde verfügt, gestohlene Daten und bösartige Dateien zu sichern und Firewall-Regeln zu ändern. Letzteres soll dazu dienen, den Fernzugriff der APT28-Gruppe auf die Router zu blockieren. Die genaue Anzahl der infizierten Geräte in den USA wurde zensiert. Infizierte Ubiquiti-Geräte wurden jedoch in „fast jedem Bundesstaat“ gefunden.
Die Operation „Dying Ember„, die gerichtlich genehmigt wurde, erfolgte nur wenige Wochen nach der Zerschlagung einer anderen staatlich geförderten Hacking-Kampagne aus China. Diese Kampagne verwendete ein anderes Botnetz mit dem Codenamen KV-botnet, um kritische Infrastruktureinrichtungen anzugreifen.
Bereits im Mai letzten Jahres hatten die USA außerdem ein globales Netzwerk zerschlagen, das von einer fortschrittlichen Malware namens Snake kompromittiert wurde. Diese Malware wurde von Hackern eingesetzt, die mit dem russischen Föderalen Sicherheitsdienst (FSB) in Verbindung stehen und auch als Turla bekannt sind.