Le gouvernement américain a déclaré jeudi avoir démantelé un botnet comprenant des centaines de routeurs de petits bureaux et de bureaux à domicile (SOHO) dans le pays, utilisé par l’acteur russe APT28 pour dissimuler ses activités malveillantes.
« Ces crimes comprenaient de vastes campagnes de spear phishing et des campagnes similaires de collecte d’informations d’identification contre des cibles présentant un intérêt pour le gouvernement russe en matière de renseignement, telles que les gouvernements américains et étrangers et les organisations militaires, de sécurité et d’entreprises », a déclaré le ministère américain de la Justice (DoJ). dit dans un rapport.
APT28, également suivi sous les surnoms BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anciennement Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy et TA422, est considéré comme étant lié à l’unité 26165 de la Direction principale de la Russie. l’état-major général (GRU). On sait qu’il est actif depuis au moins 2007.
Des documents judiciaires allèguent que les attaquants ont mené leurs campagnes de cyberespionnage en s’appuyant sur MooBot, un botnet basé sur Mirai qui a sélectionné les routeurs fabriqués par Ubiquiti pour les coopter dans un maillage d’appareils pouvant être modifiés pour agir comme proxy. relayant le trafic malveillant tout en protégeant leurs adresses IP réelles.
Le botnet, a déclaré le DoJ, a permis aux acteurs malveillants de masquer leur véritable emplacement et de récolter des informations d’identification et des hachages NT LAN Manager (NTLM) v2 via des scripts sur mesure, ainsi que d’héberger des pages de destination de spear phishing et d’autres outils personnalisés pour forcer brutalement les mots de passe. , en volant les mots de passe des utilisateurs du routeur et en propageant le malware MooBot à d’autres appareils.
Dans un affidavit expurgé déposé par le Federal Bureau of Investigation (FBI) des États-Unis, l’agence a déclaré que MooBot exploite les routeurs Ubiquiti vulnérables et accessibles au public en utilisant des informations d’identification par défaut et implante un malware SSH qui permet un accès à distance persistant à l’appareil.
« Des cybercriminels non-GRU ont installé le malware Moobot sur les routeurs Ubiquiti Edge OS qui utilisaient encore des mots de passe administrateur par défaut connus du public », a expliqué le DoJ. « Les pirates du GRU ont ensuite utilisé le malware Moobot pour installer leurs propres scripts et fichiers sur mesure qui ont réutilisé le botnet, le transformant en une plateforme mondiale de cyberespionnage. »
Les acteurs APT28 sont soupçonnés d’avoir trouvé et d’avoir accédé illégalement à des routeurs Ubiquiti compromis en effectuant des analyses publiques d’Internet en utilisant un numéro de version OpenSSH spécifique comme paramètre de recherche, puis en utilisant MooBot pour accéder à ces routeurs.
Les campagnes de spear phishing entreprises par le groupe de piratage ont également exploité un jour zéro dans Outlook (CVE-2023-23397) pour siphonner les informations de connexion et les transmettre aux routeurs.
« Dans une autre campagne identifiée, les acteurs d’APT28 ont conçu une fausse page de destination Yahoo! pour envoyer les informations d’identification saisies sur la fausse page à un routeur Ubiquiti compromis afin que les acteurs d’APT28 les collectent à leur convenance », a déclaré le FBI.
Dans le cadre de ses efforts visant à perturber le botnet aux États-Unis et à prévenir de nouveaux crimes, une série de commandes non spécifiées ont été émises pour copier les données volées et les fichiers malveillants avant de les supprimer et modifier les règles du pare-feu pour bloquer l’accès à distance d’APT28 aux routeurs.
Le nombre précis d’appareils compromis aux États-Unis a été censuré, bien que le FBI ait noté qu’il pourrait changer. Des appareils Ubiquiti infectés ont été détectés dans « presque tous les États », ajoute-t-il.
L’opération autorisée par le tribunal – appelée Braise mourante – survient quelques semaines seulement après que les États-Unis ont démantelé une autre campagne de piratage parrainée par l’État en provenance de Chine et qui exploitait un autre botnet nommé KV-botnet pour cibler des infrastructures critiques.
En mai dernier, les États-Unis ont également annoncé le démantèlement d’un réseau mondial compromis par une souche de malware avancée baptisée Snake, utilisée par des pirates informatiques associés au Service fédéral de sécurité russe (FSB), également connu sous le nom de Turla.