该恶意网络被美国当局描述为由数百个小型办公室/家庭办公室SOHO路由器组成,这些路由器被俄罗斯情报服务用于广泛的凭证收集活动。司法部表示,这个恶意网络由单位26165控制,这是俄罗斯总参谋部主要情报局(GRU)的一部分,也被称为APT28、Fancy Bear、Sofacy和Sednit。
该恶意网络由GRU以外的网络犯罪分子建立,他们最初在由于使用公开的默认管理员密码而易受攻击的Ubiquiti Edge OS路由器上安装了Moobot恶意软件。
“GRU黑客随后利用Moobot恶意软件安装他们专属的脚本和文件,重新配置恶意网络,将其转变为一个全球网络间谍平台,”司法部在2月15日的声明中指出。
APT28使用该恶意网络对美国和外国政府、军队、安全及企业组织等与俄罗斯政府相关的目标进行了“广泛的鱼叉式网络钓鱼和类似的凭证收集活动”。
美国司法部获得了法院的授权,并进行了名为“Dying Ember”的行动,FBI网络专家复制并删除了被盗的和恶意的数据及文件。该行动也可逆地修改了路由器的防火墙规则,从而阻止APT28对这些设备的远程管理访问。
在上个月公布的类似行动中,FBI拆解了另一个SOHO路由器的恶意网络,该恶意网络被指控由Volt Typhoon,一个旨在破坏关键基础设施的中国国家支持威胁组运行。
“这是两个月内第二次,我们阻止了国家支持的黑客在被妥协的美国路由器掩护下发动网络攻击,”副检察长Lisa Monaco表示。
来自司法部国家安全部门的助理检察长Matthew Olsen形容“Dying Ember”为一次“独特的双重行动”,因为它成功干扰了既被犯罪团伙也被国家支持的行为人使用的恶意网络。
KnowBe4的数据驱动防御传播员Roger Grimes表示,针对协调网络攻击的主动行动变得越来越频繁,这令人鼓舞。
“每当某个黑客团体,尤其是国家级项目被迫停业时,这都是好消息,”Grimes说。
“当然,还有成千上万的其他目标需要攻击和妥协,但那需要新工作,而每当你让对手更加努力时,这一天就是好的。”
由于“Dying Ember”行动是远程打击恶意网络,FBI正在通过互联网服务提供商与受影响的SOHO路由器所有者联系。
为了更好地保护他们的设备免受未来的攻击,FBI建议受影响的所有者执行路由器的硬件出厂重置,升级到最新固件,更改默认用户名和密码,并实施战略性防火墙规则,以防止不必要的远程管理。
在之前的Volt Typhoon恶意网络被拆解后,网络安全及基础设施安全局(CISA)与FBI合作发布了指导,针对SOHO设备制造商的安全设计改进。这份指导建议制造商在SOHO路由器的设计
