Le botnet était contrôlé par des agents soutenus par la Russie pour des opérations criminelles et d’espionnage.
Qu’est-ce qui vient de se passer? Il doit être frustrant pour le FBI que les consommateurs et les petites entreprises ne sécurisent pas leurs routeurs. À notre connaissance, à deux reprises cette année, l’agence a démantelé des botnets sur des routeurs non protégés contrôlés par des gouvernements d’États étrangers. Ce dernier incident impliquait la Russie.
Une opération du FBI autorisée par le tribunal a démantelé un réseau de centaines de routeurs Ubiquiti Edge OS dans le monde entier infectés par un malware connu appelé Mooboot. Le logiciel malveillant fonctionnait comme un botnet et était contrôlé par des agents soutenus par l’État avec l’aide d’un groupe de piratage russe connu sous différents noms, notamment Fancy Bear et APT 28. Les cibles présentaient un intérêt en matière de renseignement pour le gouvernement russe et avaient fait l’objet de spearphishing. et des campagnes similaires de collecte de titres de compétences.
Le malware n’a infecté que les routeurs Ubiquiti Edge OS en utilisant des mots de passe d’administrateur par défaut connus publiquement. Les pirates ont ensuite utilisé le malware pour installer des « scripts sur mesure » et des fichiers qui ont réutilisé le botnet, le transformant en une plateforme mondiale de cyberespionnage.
Le FBI a utilisé les propres logiciels malveillants des pirates contre eux pour copier et supprimer des données et des fichiers volés et malveillants des routeurs compromis. Ensuite, il a modifié les règles de pare-feu des routeurs pour bloquer l’accès à la gestion à distance des appareils. Il a également permis la collecte temporaire d’informations de routage hors contenu dans le cadre de la collecte de preuves.
Le FBI affirme que l’opération n’a pas eu d’impact sur la fonctionnalité des routeurs et n’a pas non plus collecté de contenu utilisateur légitime. Les propriétaires de routeurs peuvent annuler les modifications apportées aux règles de pare-feu en effectuant une réinitialisation d’usine ou en accédant au routeur via leur réseau local. Après la réinitialisation, l’agence exhorte fortement les utilisateurs à modifier le mot de passe administrateur par défaut. Sinon, le routeur sera exposé à une autre attaque.
« Il s’agit d’un autre cas où les renseignements militaires russes utilisent des dispositifs et des technologies communs pour les objectifs malveillants de ce gouvernement », a déclaré la procureure américaine Jacqueline C. Romero pour le district oriental de Pennsylvanie. « Tant que nos adversaires étatiques continueront de menacer la sécurité nationale des États-Unis de cette manière, nous et nos partenaires utiliserons tous les outils disponibles pour perturber leurs cyber-voyous – qui qu’ils soient et où qu’ils se trouvent. »
Ce retrait fait suite à la perturbation, le mois dernier, par le FBI de centaines de routeurs Cisco et NetGear rendus vulnérables parce qu’ils étaient en fin de vie et ne recevaient plus de mises à jour de sécurité. Parrainé par l’État, un groupe de hackers chinois appelé Volt Typhoon a utilisé le logiciel malveillant KV Botnet dans cette attaque. Les malfaiteurs ont utilisé des routeurs privés pour cibler des organisations d’infrastructures critiques aux États-Unis. Le FBI a fortement encouragé les propriétaires de routeurs à supprimer et à remplacer tout routeur en fin de vie de leur réseau.
Crédit image : BeeBright