Схема: чужое преступление — инструмент ГРУ
Атака начиналась не с ГРУ. Сначала обычные киберпреступники заражали маршрутизаторы Ubiquiti EdgeOS вредоносным программным обеспечением Moobot — через банальные заводские пароли, которые владельцы просто не изменили. Далее в игру вступала Военная часть 26165 ГРУ, известная также как APT28, Fancy Bear или Forest Blizzard: хакеры перехватывали уже заражённые устройства и встраивали собственные скрипты, превращая бот-сеть в глобальную платформу шпионажа.
Как пояснило Министерство юстиции США, «ГРУ-хакеры использовали Moobot, чтобы установить собственные скрипты и файлы, которые переориентировали бот-сеть на глобальную платформу киберразведки». Этот метод позволял маскировать настоящие IP-адреса операторов и перенаправлять вредоносный трафик через маршрутизаторы в жилых домах и малых офисах.
Что крали и где
На скомпрометированных устройствах ФБР обнаружило широкий арсенал инструментов APT28: Python-скрипты для сбора учётных данных веб-почты, программы для перехвата NTLMv2-хешей и кастомные правила маршрутизации, которые перенаправляли фишинговый трафик на специальную атакующую инфраструктуру.
Целями были правительства, военные структуры и корпорации по крайней мере в 11 странах: Чехия, Италия, Литва, Иордания, Черногория, Польша, Словакия, Турция, Украина, ОАЭ и США. Как указано в совместном техническом предупреждении ФБР, АНБ и Киберкомандования США, атаки продолжались по крайней мере с 2022 года.
«Мы выгоняем ГРУ из более чем тысячи домашних и офисных маршрутизаторов и закрываем двери за ними — лишаем ГРУ доступа к бот-сети, которой они пользовались для кибератак против стран по всему миру».
Директор ФБР Кристофер Рей, Мюнхенская конференция по безопасности, 15 февраля 2024 года
Операция Dying Ember: как ФБР вошло в ваш маршрутизатор, чтобы выгнать ГРУ
В рамках судебно санкционированной операции Dying Ember агенты ФБР удалённо получили доступ к заражённым устройствам и использовали сам Moobot, чтобы удалить украденные данные и вредоносные файлы. Затем — удалили сам Moobot и заблокировали каналы удалённого доступа. Операцию провели совместно ФБР, Департамент юстиции США, Microsoft и Shadowserver Foundation при участии СБУ и правоохранителей Бельгии, Бразилии, Франции, Германии, Латвии, Литвы, Норвегии, Польши, Южной Кореи и Великобритании.
Критичный нюанс: перезагрузка заражённого маршрутизатора не удаляет вредоносное ПО. По рекомендациям ФБР, владельцы должны выполнить полное аппаратное восстановление к заводским настройкам и обновить прошивку — большинство этого до сих пор не сделали.
Гражданская инфраструктура как поле боя
Эта операция — не первый подобный случай. В 2022 году, после полномасштабного вторжения России в Украину, ФБР ликвидировало ещё одну бот-сеть другого подразделения ГРУ — Sandworm (операция Cyclops Blink). Модель повторяется: ГРУ не строит собственную инфраструктуру с нуля, а паразитирует на уже скомпрометированных криминальными хакерами устройствах обычных людей.
Исследователи из Oxford Internet Institute описывают эту тактику как «размывание границы между военной и гражданской инфраструктурой»: государство использует криминальные инструменты, чтобы спрятаться среди миллионов легальных пользователей — и усложнить атрибуцию атак в суде или на дипломатическом уровне.
- Более 1000 маршрутизаторов более чем в 10 странах — подтверждённый масштаб бот-сети на момент ликвидации
- Ubiquiti EdgeOS — основная мишень: устройства не обновляются автоматически и широко используются малым бизнесом
- Заводской пароль — начальная точка входа в большинстве задокументированных случаев
- APT28 активна с 2007 года — атаки на правительства, армии и корпорации по всему миру
Если ГРУ вновь применит эту схему — а прошлые прецеденты показывают, что они возвращаются с модифицированными инструментами — вопрос в том, успеют ли производители маршрутизаторов и регуляторы внедрить обязательное изменение заводских паролей до следующего витка: пока Ubiquiti и аналогичные бренды не перейдут на принудительную персонализацию настроек «из коробки», миллионы устройств остаются открытыми дверями для следующей операции.
