El FBI ha informado de que ha desmantelado una botnet de routers para pequeñas oficinas/oficinas domésticas (SOHO) usados por la Dirección Principal de Inteligencia del Estado Mayor de Rusia (GRU) para enviar tráfico y atacar a EE.UU. y sus aliados, con el fin de llevar a cabo ataques de phishing y el robo de credenciales.
Los cibermalos rusos apuntaban contra gobiernos estadounidenses y extranjeros, entidades militares y organizaciones corporativas y de seguridad.
"Esta botnet se diferenciaba de las redes de malware anteriores del GRU y del Servicio Federal de Seguridad de Rusia (FSB) interrumpidas por el Departamento en que el GRU no la creó desde cero. En cambio, el GRU se basó en el malware 'Moobot', que está asociado con un grupo criminal conocido", ha señalado el Departamento de Justicia de EE.UU.
Esta red de routers Ubiquiti Edge OS infectados con el malware Moobot están controlados por la Unidad Militar GRU 26165, que también se conoce con los nombres APT28, Fancy Bear y Sednit, según recoge Bleeping Computer.
Los ciberdelincuentes actuaron infiltrándose en primer lugar en los routers del sistema operativo Ubiquiti Edge e implementaron el malware, apuntando a dispositivos expuestos a Internet con contraseñas de administrador predeterminadas ampliamente conocidas.
Después, los piratas de GRU aprovecharon el malware Moobot para implementar sus propias herramientas maliciosas personalizadas, reutilizando la botnet para transformarla en una herramienta de ciberespionaje con alcance global.
Como parte de la operación los agentes del FBI accedieron de forma remota a los routers comprometidos y utilizaron el malware Moobot para eliminar datos y archivos robados y maliciosos.
Luego, eliminaron dicho malware y bloquearon el acceso remoto que, de otro modo, habría permitido a los ciberespías rusos reinfectar los dispositivos.
Otra botnet desmantelada
Tan solo hacía un par de semanas que el FBI paró otra red de bots dirigida también a secuestrar oficinas domésticas en EE.UU, aunque en este caso utilizada por piratas informáticos chinos.
Esta otra botnet estaba operada por ciberdelincuentes estatales chinos, en concreto a un grupo que se hace llamar Volt Typhoon o Bronze Silhouette.