Схема: чужий злочин — інструмент ГРУ
Атака починалася не з ГРУ. Спочатку звичайні кіберзлочинці заражали роутери Ubiquiti EdgeOS шкідливим програмним забезпеченням Moobot — через банальні заводські паролі, які власники просто не змінили. Далі в гру входила Військова частина 26165 ГРУ, відома також як APT28, Fancy Bear або Forest Blizzard: хакери перехоплювали вже заражені пристрої і вбудовували власні скрипти, перетворюючи бот-мережу на глобальну платформу шпигунства.
Як пояснило Міністерство юстиції США, «ГРУ-хакери використали Moobot, щоб встановити власні скрипти й файли, що перепрофілювали бот-мережу на глобальну платформу кіберрозвідки». Цей метод дозволяв маскувати справжні IP-адреси операторів і перенаправляти шкідливий трафік через роутери в житлових будинках і малих офісах.
Що крали і де
На скомпрометованих пристроях ФБР виявило широкий арсенал інструментів APT28: Python-скрипти для збору облікових даних вебпошти, програми для перехоплення NTLMv2-хешів та кастомні правила маршрутизації, що перенаправляли фішинговий трафік на спеціальну атакувальну інфраструктуру.
Цілями були уряди, військові структури та корпорації щонайменше в 11 країнах: Чехія, Італія, Литва, Йорданія, Чорногорія, Польща, Словаччина, Туреччина, Україна, ОАЕ та США. Як зазначено у спільному радарному попередженні ФБР, NSA та Кіберкомандування США, атаки тривали щонайменше з 2022 року.
«Ми виганяємо ГРУ з понад тисячі домашніх та офісних роутерів і зачиняємо двері за ними — вбиваємо доступ ГРУ до бот-мережі, якою вони користувалися для кібератак проти країн по всьому світу».
Директор ФБР Крістофер Рей, Мюнхенська конференція з безпеки, 15 лютого 2024 року
Операція Dying Ember: як ФБР увійшло у ваш роутер, щоб вигнати ГРУ
У рамках судово санкціонованої операції Dying Ember агенти ФБР дистанційно отримали доступ до заражених пристроїв і використали сам Moobot, щоб видалити вкрадені дані та шкідливі файли. Потім — видалили сам Moobot і заблокували канали віддаленого доступу. Операцію провели спільно ФБР, Департамент юстиції США, Microsoft та Shadowserver Foundation за участю СБУ та правоохоронців Бельгії, Бразилії, Франції, Німеччини, Латвії, Литви, Норвегії, Польщі, Південної Кореї та Великої Британії.
Критичний нюанс: перезавантаження зараженого роутера не видаляє шкідливе ПЗ. За рекомендаціями ФБР, власники повинні виконати повне апаратне скидання до заводських налаштувань і оновити прошивку — більшість цього досі не зробили.
Цивільна інфраструктура як поле бою
Ця операція — не перший подібний випадок. У 2022 році, після повномасштабного вторгнення Росії в Україну, ФБР ліквідувало ще одну бот-мережу іншого підрозділу ГРУ — Sandworm (операція Cyclops Blink). Модель повторюється: ГРУ не будує власну інфраструктуру з нуля, а паразитує на вже скомпрометованих кримінальними хакерами пристроях звичайних людей.
Дослідники з Oxford Internet Institute описують цю тактику як «розмивання кордону між військовою і цивільною інфраструктурою»: держава використовує кримінальні інструменти, щоб сховатися серед мільйонів легальних користувачів — і ускладнити атрибуцію атак у суді чи на дипломатичному рівні.
- Понад 1000 роутерів у понад 10 країнах — підтверджений масштаб бот-мережі на момент ліквідації
- Ubiquiti EdgeOS — основна мішень: пристрої не оновлюються автоматично і широко використовуються малим бізнесом
- Заводський пароль — початкова точка входу в більшості задокументованих випадків
- APT28 активна з 2007 року — атаки на уряди, армії та корпорації по всьому світу
Якщо ГРУ знову застосує цю схему — а минулі прецеденти показують, що вони повертаються з модифікованими інструментами, — питання в тому, чи встигнуть виробники роутерів і регулятори запровадити обов'язкову зміну заводських паролів до наступного витку: поки Ubiquiti та аналогічні бренди не перейдуть на примусову персоналізацію налаштувань «з коробки», мільйони пристроїв залишаються відкритими дверима для наступної операції.
