Theo thông báo từ Bộ Tư pháp Mỹ (DoJ), một hoạt động được tòa án ủy quyền đã làm gián đoạn mạng lưới hàng trăm bộ định tuyến hệ điều hành Ubiquiti Edge dưới sự kiểm soát của nhóm tin tặc APT28 khét tiếng.
DoJ cho biết, các hành vi độc hại của APT28 bao gồm các chiến dịch lừa đảo quy mô lớn và thu thập thông tin xác thực tương tự nhằm vào các mục tiêu mà Chính phủ Nga quan tâm, chẳng hạn như theo dõi các tổ chức quân sự, an ninh và các tập đoàn tư nhân tại Mỹ cũng như các quốc gia đối trọng khác với Nga.
Nhóm tin tặc APT28 còn được biết với các tên gọi khác, bao gồm: BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (trước đây là Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy và TA422, được đánh giá là có liên quan đến Đơn vị 26165 của Cơ quan Tình báo Quân đội Nga (GRU). Nhóm tin tặc này đã hoạt động ít nhất kể từ năm 2007.
Các tài liệu của tòa án cáo buộc rằng những kẻ tấn công đã thực hiện các chiến dịch gián điệp mạng bằng cách dựa vào MooBot - một mạng botnet dựa trên Mirai đã xâm nhập vào các bộ định tuyến Ubiquiti dễ bị tấn công để đưa chúng vào một mạng lưới các thiết bị có thể được sửa đổi để hoạt động như một proxy, chuyển tiếp lưu lượng truy cập độc hại trong khi ẩn địa chỉ IP thực tế.
DoJ cho rằng, botnet này đã cho phép các tác nhân đe dọa che giấu vị trí thực sự của chúng và thu thập thông tin xác thực cũng như các hàm băm NT LAN Manager (NTLM) v2 thông qua các tập lệnh riêng biệt, cũng như lưu trữ các trang đích lừa đảo trực tuyến và các công cụ tùy chỉnh khác để tiến hành Brute Force mật khẩu, đánh cắp mật khẩu bộ định tuyến và phát tán phần mềm độc hại MooBot sang các thiết bị khác.
Trong một bản báo cáo của Cục Điều tra Liên bang Mỹ (FBI) công bố, cơ quan này cho biết MooBot khai thác các bộ định tuyến Ubiquiti dễ bị tấn công và có thể truy cập công khai bằng cách sử dụng thông tin xác thực mặc định và nhúng phần mềm độc hại thông qua SSH cho phép truy cập từ xa vào thiết bị.
DoJ giải thích: “Một số tác nhân đe dọa (không phải các tin tặc GRU) đã cài đặt phần mềm độc hại MooBot trên các bộ định tuyến Ubiquiti Edge mà vẫn đang sử dụng mật khẩu quản trị viên mặc định được biết đến công khai. Các tin tặc GRU sau đó đã sử dụng MooBot để cài đặt các tập lệnh độc hại riêng nhằm mục đích thay đổi mục đích hoạt động của mạng botnet, biến nó thành một nền tảng gián điệp mạng có phạm vi trên toàn cầu”.
Các tác nhân APT28 bị nghi ngờ đã tìm thấy và truy cập trái phép các bộ định tuyến Ubiquiti bị xâm nhập bằng cách sử dụng số phiên bản OpenSSH cụ thể làm tham số tìm kiếm, sau đó sử dụng MooBot để truy cập các bộ định tuyến đó. Các chiến dịch lừa đảo trực tuyến do nhóm APT28 thực hiện cũng đã tận dụng lỗ hổng zero-day trong Outlook (CVE-2023-23397) để lấy thông tin xác thực đăng nhập và gửi chúng đến bộ định tuyến.
Ngoài ra, để vô hiệu hóa quyền truy cập của các tin tặc vào các bộ định tuyến cho đến khi nạn nhân có thể giảm thiểu sự xâm phạm và xác nhận lại toàn quyền kiểm soát, hoạt động của Chính phủ Mỹ đã sửa đổi hoàn toàn các quy tắc tường lửa của bộ định tuyến để chặn quyền truy cập quản lý từ xa vào thiết bị.
Hoạt động được tòa án ủy quyền, được gọi là Dying Ember, diễn ra chỉ vài tuần sau khi Mỹ triệt phá một chiến dịch tấn công mạng khác do nhà nước tài trợ có nguồn gốc từ Trung Quốc, lợi dụng một mạng botnet có tên là KV botnet để nhắm mục tiêu vào các cơ sở hạ tầng quan trọng.
Trước đó vào tháng 5/2023, Mỹ cũng tuyên bố đã phá vỡ một mạng lưới toàn cầu bị xâm phạm bởi một loại phần mềm độc hại tiên tiến có tên Snake do các tin tặc liên quan đến Cơ quan An ninh Liên bang Nga (FSB), hay còn gọi là Turla sử dụng.