Связанные с ГРУ хакеры взломали сотни роутеров в Германии и других странах и воспользовались ими для кибератак

Германия и США провели совместную операцию по борьбе с подконтрольной ГРУ (ГУ ГШ ВС РФ) хакерской группировкой APT28. Об этом говорится в статье Süddeutsche Zeitung и пресс-релизе Минюста США.

Сообщается, что операцию провели ещё в январе, однако отчитались об этом только сейчас. Сообщалось, что хакеры взломали «сотни маршрутизаторов» производителя Ubiquiti, предназначенных для небольших офисов, чтобы с их помощью скрывать свои преступления. Предполагается, что в процессе они пользовались сторонней помощью не связанных с Кремлём киберпреступников, а также вирусом Moobot.

Заявляется, что этот взлом позволил APT28 (воинская часть ГРУ 26165, они же — Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear и Sednit) проводить масштабные целевые фишинговые рассылки и собирать учётные данные «целей, представляющих разведывательный интерес для российского правительства». Среди жертв российских взломщиков — сотрудники правительств, включая администрацию Байдена, военные, системы служб безопасности и корпорации. 

«Эта сеть ботов отличался от предыдущих вредоносных сетей ГРУ и Федеральной службы безопасности, разрушенных Департаментом, тем, что ГРУ не создавало его с нуля. Вместо этого ГРУ использовало вредоносное ПО Moobot, связанное с известной преступной группировкой. Киберпреступники, не относящиеся к ГРУ, установили вредоносное ПО Moobot на маршрутизаторы <..> Затем хакеры ГРУ использовали вредоносное ПО Moobot для установки собственных скриптов и файлов, которые перепрофилировали ботнет, превратив его в глобальную платформу кибершпионажа», — говорится в сообщении Минюста.

Судя по всему, жертвы стали мишенями хакеров из-за того, что пользовались дефолтными паролями администратора. Из публикации Минюста следует, что ФБР и другие спецслужбы сами воспользовались тем вирусом и установили на маршрутизаторах особые правила брандмауэра, которые отключили роутеры от российских хакеров. Они также запустили сбор log-файлов, чтобы понять, как именно ГРУ будет пытаться противодействовать операции. Сообщается, что действия были санкционированы американским судом.

«Второй раз за два месяца мы помешали спонсируемым государством хакерам начать кибератаки под прикрытием взломанных маршрутизаторов США. Мы продолжим использовать все наши юридические полномочия для предотвращения вреда и защиты общества — независимо от того, являются ли хакеры из России, Китая или другой глобальной угрозы», — заявила заместитель генерального прокурора Лиза Монако. 

Об операции также отчиталась федеральный министр внутренних дел ФРГ Нэнси Фейзер. МВД и Федеральное ведомство по защите конституции (BVT) сообщили, что группировка использовала международную инфраструктуру для атак на немецкие цели в течение как минимум двух лет. Сообщается, что ГРУ интересовали данные о политико-стратегической ориентации Германии в отношении России и поставках военных товаров ВСУ. Спецслужбы говорят, что атакам подверглись «объекты в других государствах ЕС и НАТО», но не раскрывают подробностей.

Ранее связанная с ГРУ российская хакерская группировка «Солнцепёк» взяла не себя отвественность за взлом крупнейшего украинского мобильного оператора «Киевстар». Microsoft обвинила связанную с СВР российскую хакерскую группировку NOBELIUM в краже электронных писем руководства компании.