Il governo degli Stati Uniti ha annunciato di aver interrotto l’attività di una botnet utilizzata dall’unità di intelligence militare russa GRU per operazioni di phishing, spionaggio, raccolta credenziali e furto di dati contro governi americani e stranieri e altri bersagli strategici. Questa operazione di smantellamento, autorizzata da un tribunale a gennaio, ha coinvolto la neutralizzazione di “ben oltre mille” router domestici e per piccole imprese infettati dal malware Moobot, una variante di Mirai.
Collaborazione con Gruppi Criminali
Secondo quanto riferito, criminali non affiliati al GRU hanno installato Moobot su router Ubiquiti Edge OS utilizzando password di amministratore predefinite e pubblicamente note. Successivamente, il team di spionaggio del GRU (noto anche come APT 28, Forest Blizzard e Fancy Bear) ha utilizzato Moobot per installare script e file personalizzati, trasformando la botnet in una piattaforma globale di cyber spionaggio.
Obiettivi della Botnet
La botnet mirava a organizzazioni di interesse per il governo russo, inclusi governi e militari stranieri e americani, nonché organizzazioni di sicurezza e aziendali. In precedenza, Microsoft aveva segnalato che il gruppo Fancy Bear aveva sfruttato due vulnerabilità già corrette per campagne di phishing su larga scala contro obiettivi di alto valore, come agenzie governative, di difesa e aerospaziali negli Stati Uniti e in Europa.
Azioni di Smantellamento
Le autorità americane sono state in grado di istruire la botnet Moobot a copiare ed eliminare file dannosi, inclusi il malware stesso e eventuali dati rubati, sui router compromessi. L’FBI ha anche modificato le regole del firewall dei router per bloccare l’accesso remoto ai dispositivi, impedendo ulteriori compromissioni e consentendo la raccolta temporanea di informazioni di routing non relative ai contenuti per esporre i tentativi del GRU di ostacolare l’operazione.
Implicazioni e Risposta
Questa è la seconda volta in pochi mesi che le autorità federali affermano di aver sventato una botnet sponsorizzata dallo stato. L’azione contro la botnet Moobot segue lo smantellamento della botnet Volt Typhoon della Cina, che aveva sfruttato dispositivi Cisco e Netgear obsoleti per infiltrarsi in infrastrutture critiche negli Stati Uniti. Nonostante questi successi, gli esperti avvertono che gruppi come Fancy Bear torneranno presto con nuovi schemi, sottolineando l’importanza di continuare a ostacolare le operazioni del GRU, specialmente in vista delle elezioni.