Министерство юстиции США отчиталось о взломе ботнета, в состав которого входили маршрутизаторы из сегмета SOHO (небольшие и домашние офисы). По данным американской стороны, за его созданием стояла воинская часть ГРУ (современное название — Главное управление Генерального штаба ВС РФ) номер 26165. В западных публикациях она также известна под названиями APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear и Sednit.«Министерство юстиции активизирует усилия по пресечению киберкампаний российского правительства против США и наших союзников, включая Украину, — заявил генеральный прокурор США Меррик Гарланд (Merrick Garland). — В этом конкретном случае российские спецслужбы обратились к преступным группировкам с просьбой помочь им атаковать SOHO-маршрутизаторы, но нам удалось прикрыть эту лавочку. Мы продолжим демонтировать вредоносные киберинструменты российского правительства, которые ставят под угрозу безопасность Соединенных Штатов и наших союзников»
Отмечается, что ботнет участвовал в масштабных целевых фишинговых кампаниях, а также помогал ГРУ собирать учетные данные пользователей, имеющих отношения к объектам, представляющим интерес для российского правительства. В Вашингтоне утверждают, что ГРУ не создавало ботнет с нуля. Вместо этого было использовано вредоносное ПО Moobot, связанное с одной из киберпреступных группировок. Ее члены установили Moobot на маршрутизаторы Ubiquiti Edge OS, которые использовали пароли администратора по умолчанию. Уже после этого сотрудники ГРУ якобы установили собственные скрипты и файлы, превратившие ботнет в глобальную платформу для кибершпионажа.
В ходе кибероперации «Угасающий уголь» американским силовикам удалось удалить вредоносные данные и файлы со взломанных маршрутизаторов, а также нейтрализовать доступ к ним со стороны сотрудников ГРУ.
sc: justice[.]gov/opa/pr/justice-department-conducts-court-authorized-disruption-botnet-controlled-russian