As autoridades americanas anunciaram a destruição de uma botnet usada para ataques de phishing, espionagem, coleta de credenciais e roubo de informações – segundo sua versão, as estruturas de inteligência russas estiveram envolvidas na implantação de uma rede de dispositivos hackeados. O Registro relata isso.
Fonte da imagem: David Trinks/unsplash.com
A botnet foi retirada do ar em janeiro e consistia em “mais de mil” roteadores usados em redes domésticas e de pequenas empresas. Os dispositivos foram infectados com o vírus Moobot, uma variante do malware Mirai identificado anteriormente. O vírus foi usado para controlar remotamente dispositivos comprometidos e realizar ataques em redes.
O Moobot foi instalado em roteadores que executam o Ubiquiti Edge OS por cibercriminosos desconhecidos usando credenciais padrão. Depois disso, segundo o FBI, o controle dos dispositivos hackeados foi assumido pelo grupo de hackers APT 28, também conhecido como Forest Blizzard e Fancy Bear, supostamente associado à inteligência russa. Este grupo, através da instalação em massa dos seus próprios scripts em dispositivos, adaptou a botnet e transformou-a “numa plataforma global de espionagem cibernética”. Os alvos da botnet incluíam organizações associadas aos governos dos EUA e estrangeiros, organizações militares e empresas privadas.
Especialistas do FBI assumiram o controle do Moobot e ordenaram que a rede maliciosa copiasse e excluísse arquivos maliciosos, incluindo os arquivos do próprio malware, bem como dados contidos em roteadores hackeados. Os americanos mudaram as regras de firewall dos roteadores, evitando que fossem sequestrados novamente. Ao final da operação, todos os dispositivos foram redefinidos à força para as configurações de fábrica, o que significa que, embora mantivessem suas credenciais padrão, permaneceriam vulneráveis a novos ataques.