Operacja Rosji. Amerykanie zakłócili działanie GRU

FBI przeprowadziło operację mającą na celu zneutralizowanie wrogiej aktywności ze strony rosyjskich hakerów. Na podstawie zgody amerykańskiego sądu w styczniu br. zakłócono botnet, wykorzystywany przez grupę Fancy Bear (APT28), powiązaną z wywiadem wojskowym GRU. 

Operacja Rosji. Szpiegowanie rządów i wojska

Jak wskazuje Departament Sprawiedliwości USA, botnet składał się z setek małych routerów Ubiquiti Edge OS, zainfekowanych złośliwym oprogramowaniem Moobot. 

Według Amerykanów, infrastruktura była wykorzystywana do kampanii szpiegowskich wymierzonych w podmioty, które znajdują się w kręgu zainteresowania Rosji. Wymieniono tu rządy Stanów Zjednoczonych i innych państworaz podmioty wojskowe, bezpieczeństwa i firmy.

Departament Sprawiedliwości USA intensyfikuje wysiłki na rzecz zakłócenia kampanii Rosji przeciwko Stanom Zjednoczonym i ich sojusznikom, w tym Ukrainie.
Merrick B. Garland, prokurator generalny

USA: operacja zakończona sukcesem

Z ujawnionych informacji wynika, że specjalistom USA udało się skutecznie zablokować zdalny dostęp do routerów. Usunięto złośliwe oprogramowanie, używane przez rosyjskie GRU. 

GRU nadal atakuje Stany Zjednoczone za pomocą botnetów. FBI wykorzystało swoje możliwości techniczne, aby zakłócić Rosji dostęp do setek routerów.
Christopher Wray, dyrektor FBI

Amerykanie deklarują, że operacja zakłócenia botnetu nie wpłynęła na funkcjonowanie urządzeń, ani nie zebrano żadnych informacji na temat użytkowników. 

Aktywność Rosji. Zalecenia FBI

FBI podjęło wysiłki na rzecz powiadomienia o operacji właścicieli routerów, wobec których prowadzono działania. 

Dodatkowo zarekomendowano użytkownikom, aby wykonali fabryczny reset, zaktualizowali oprogramowanie do najnowszej wersji, zmienili nazwy i hasła oraz wdrożyli rozwiązania zapory sieciowej. 

Polska celem Rosji

Warto mieć na uwadze, że mówimy o Fancy Bear, czyli o grupie hakerskiej posiadającej wysokie zdolności oraz będącej instrumentem służb specjalnych Putina. Polska jest jednym z jej celów, o czym mieliśmy okazję przekonać się niejednokrotnie. 

Na naszych łamach opisywaliśmy m.in. kampanię, której celem było infekowanie rządowych urządzeń i kradzież danych. O sprawie pod koniec ubiegłego roku alarmował ukraiński CERT-UA, bo wrogie działania obejmowały również tamtejsze instytucje. 

Z ujawnionych danych wynikało, że hakerzy w dniach 15-25 grudnia rozsyłali wiadomości e-mail z linkami. Kliknięcie przenosiło użytkowników do kontrolowanej przez atakujących witryny. Wszystkie czynności prowadziły do pobrania i instalacji na urządzeniu złośliwego oprogramowania przeznaczonego do m.in. kradzieży danych. 

Ataki Rosji. Wojsko Polskie jest aktywne

Nie tylko Amerykanie odnoszą sukcesy w walce z rosyjskimi hakerami. Polska również ma się czym pochwalić, zwłaszcza w kontekście zakłócenia działań Fancy Bear. 

Wystarczy wspomnieć o ujawnieniu przez Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) wrogich działań, polegających na wykorzystaniu podatności CVE-2023-23397 (Microsoft Outlook) po to, by uzyskać dostęp do skrzynki ofiary. Celem były podmioty publiczne i prywatne.

Analiza wykazała, że kampania pokrywa się z aktywnością wspomnianej grupy Fancy Bear. Szczegóły znajdziecie pod linkiem: Wojsko Polskie ujawnia wrogą operację.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].