Il Dipartimento di Giustizia degli Stati Uniti ha comunicato che a gennaio è stata smantellata la botnet Moonbot utilizzata dall’intelligence russa per varie campagne contro aziende, organizzazioni e militari di paesi occidentali. Gli attacchi soni stati effettuati dall’unità 26165 del GRU, nota anche come APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear e Sednit. Il Dipartimento di Stato ha invece messo una taglia di 15 milioni di dollari sui cybercriminali del gruppo BlackCat/ALPHV.
Botnet con router SOHO
Il GRU non ha creato da zero la botnet, ma ha sfruttato quella creata da noti cybercriminali installando il malware Moonbot sui router Ubiquiti con sistema operativo EdgeOS che usano la password predefinita di amministratore. Successivamente il GRU ha sfruttato il malware per installare script e file su misura che hanno trasformato la botnet in una piattaforma globale di cyberspionaggio.
Come già avvenuto in altre operazioni simili, il giudice ha autorizzato l’FBI ad accedere da remoto ai router per cancellare tutti i file installati dal GRU. Sono state inoltre modificate le regole del firewall integrato per impedire al GRU di accedere nuovamente al router. In pratica è stato tagliata la connessione alla botnet.
L’operazione non ha impattato il normale funzionamento dei router e non sono state raccolte informazioni sugli utenti. Purtroppo, la disconnessione dalla botnet potrebbe essere solo temporanea. Se gli utenti effettuano un ripristino delle impostazioni di fabbrica e mantengono la password predefinita di amministratore, il router può essere nuovamente infettato.
Il Dipartimento di Stato ha invece offerto una ricompensa di 10 milioni di dollari a chiunque fornisca informazioni sulla posizione dei membri del gruppo BlackCat/ALPHV. Altri 5 milioni di dollari sono stati offerti a chiunque fornisca informazioni che permettano la loro cattura.
Ti potrebbe interessare
16 feb 2024