US-FBI zerschlägt russisches GRU-Botnetz, das auf über 1000 Heimroutern von Kleinunternehmen aufgebaut ist
Die US-Regierung hat nach eigenen Angaben ein Botnetz ausgeschaltet, das vom russischen Militärgeheimdienst GRU genutzt wurde, um Phishing-Aktionen, Spionage, das Sammeln von Zugangsdaten und Datendiebstahl gegen US-amerikanische und ausländische Regierungen sowie andere strategische Ziele durchzuführen, berichtet The Register.
Die jüngste gerichtlich angeordnete Beschlagnahmung fand im Januar statt und umfasste die Neutralisierung von “mehr als tausend” Routern für Privathaushalte und kleine Unternehmen, die mit der Moobot-Malware, einer Variante von Mirai, infiziert waren, so FBI-Direktor Christopher Wray in seiner Rede auf der Münchner Cybersecurity-Konferenz am Donnerstag. Moobot kann dazu verwendet werden, kompromittierte Geräte aus der Ferne zu steuern und Angriffe auf Netzwerke zu starten.
Cyberkriminelle, die nicht der GRU angehören, installierten Moobot auf Ubiquiti Edge OS-Routern unter Verwendung öffentlich bekannter Standard-Administratorpasswörter. Das GRU-Spionageteam (bekannt als APT 28, Forest Blizzard und Fancy Bear) nutzte dann Moobot, um eigene Skripte und Dateien zu installieren, die das Botnetz umfunktionierten und es so in eine globale Cyberspionage-Plattform verwandelten”, so die Bundespolizei.
“Derrussische Geheimdienst hat sich an kriminelle Gruppen gewandt, um ihnen bei Angriffen auf Router in Privathaushalten und Büros zu helfen, aber das Justizministerium hat ihre Pläne vereitelt“, sagte US-Justizminister Merrick Garland. “Wir werden weiterhin die bösartigen Cyberwerkzeuge der russischen Regierung, die die Sicherheit der Vereinigten Staaten und unserer Verbündeten bedrohen, stören und zerstören“.
Das Botnet hatte es auf Organisationen abgesehen, die für die russische Regierung von Interesse sind, darunter die USA und andere Regierungen, sowie auf Militär-, Sicherheits- und Unternehmensorganisationen. Im Dezember teilte Microsoft mit, dass das Fancy-Bear-Team zwei zuvor gepatchte Bugs genutzt hatte, um groß angelegte Phishing-Kampagnen gegen hochrangige Ziele wie Regierungs-, Verteidigungs- und Raumfahrtbehörden in den USA und Europa zu starten, ohne jedoch zu sagen, ob das Botnet bei diesen Angriffen verwendet wurde.
Anfang dieser Woche wurde berichtet, dass Kreml-Agenten dabei erwischt wurden, wie sie OpenAI-Modelle zur Erstellung von Phishing-E-Mails und Malware-Skripten missbrauchten.
Nach Angaben der US-Staatsanwaltschaft war das FBI in der Lage, das Moobot-Botnetz anzuweisen, bösartige Dateien, einschließlich der Malware selbst, sowie alle gestohlenen Daten auf den gehackten Routern zu kopieren und zu löschen, ähnlich wie es das Justizministerium bei der jüngsten Zerschlagung des Volt Typhoon KV-Botnetzes getan hat.
Das FBI berichtete[PDF], dass die Demontage des Moobot-Netzwerks auch die Änderung der Router-Firewall-Regeln umfasste, um den Zugriff auf die Fernsteuerung der Geräte zu blockieren und so einen weiteren Diebstahl zu verhindern, und “die vorübergehende Sammlung von unkritischen Routing-Informationen ermöglichte, die die Versuche der GRU, die Operation zu stören, aufgedeckt hätten”.
Mit anderen Worten: Uncle Sam konnte Russland daran hindern, das Botnetz zu nutzen, indem es den Zugang zur Fernsteuerung blockierte, Router von Malware säuberte und die Arbeit des Kremls an infizierten Geräten überprüfte. Berichten zufolge geschah dies alles mit dem Einverständnis der Eigentümer der infizierten Geräte.
Darüber hinaus können die Benutzer die Änderungen der Firewall-Regeln durch einen Werksreset oder über die Weboberfläche des Routers rückgängig machen. Dabei ist jedoch zu beachten, dass die Geräte nach einem Reset möglicherweise wieder für Angriffe missbraucht werden können, es sei denn, das Standardpasswort des Administrators wird geändert.
“Ein Zurücksetzen auf die Werkseinstellungen ohne gleichzeitige Änderung des Standard-Administrator-Passworts setzt den Router auf seine Standard-Administrator-Anmeldeinformationen zurück und macht ihn anfällig für eine erneute Infektion oder ähnliche Angriffe“, warnte das US-Justizministerium.
Dies ist das zweite Mal in den letzten Monaten, dass das FBI behauptet, ein von einem ganzen Staat finanziertes Botnet aufgedeckt zu haben. Der erste, der im Januar bekannt gegeben wurde, gehörte dem chinesischen Unternehmen Volt Typhoon, das Hunderte von veralteten Cisco- und Netgear-Geräten missbrauchte, um in Energieanlagen, Notfallnetzwerke und andere kritische Infrastrukturen in den Vereinigten Staaten einzudringen.
Wie John Hultquist, Chefanalyst bei Google Mandiant Intelligence, gegenüber The Register erklärte, ist es jedoch wahrscheinlich, dass das vom Kreml unterstützte Team aufgrund der bevorstehenden Wahlen, die die Russen aufgrund des Krieges mit der Ukraine gerne beeinflussen möchten, “bald mit einem neuen Plan zurückkommen wird”.
Es wird vermutet, dass Fancy Bear hinter den Eingriffen in die Computer der Demokratischen Partei in den USA während des Präsidentschaftswahlkampfs 2016 steckt und seither weiter versucht, die Wahl zu stören.
Es wird vermutet, dass Donald Trump im Falle eines Sieges bei den US-Präsidentschaftswahlen die militärische und finanzielle Unterstützung für die Ukraine vollständig zurückziehen und den europäischen Ländern keine NATO-Hilfe gewähren wird, falls Russland die EU angreift. Mit anderen Worten: Putin setzt darauf, dass Trump im Falle seines Sieges die Ukraine und ganz Europa an Russland “verschenken” wird.
