Constitué de plus d’un millier de routeurs domestiques et de petites entreprises, un botnet sous le contrôle d’un groupe de hackers en lien avec l’unité chargée du cyberespionnage pour le renseignement militaire russe a été neutralisé le mois dernier.
Les appareils avaient été compromis en raison de l’utilisation d’un mot de passe administrateur par défaut, puis infectés par un malware Moobot (une variante de Mirai). Cette infection de routeurs Ubiquiti Edge OS était toutefois l’œuvre de cybercriminels non liés au renseignement militaire russe.
Selon le Département de la Justice des États-Unis, les hackers du renseignement militaire russe se sont appuyés sur le malware Moobot pour installer leurs propres scripts et fichiers. Ils ont ainsi réorienté le réseau d’appareils zombies pour le transformer en une plateforme mondiale de cyberespionnage.
Des agents du FBI ont pris la main
Dans le cadre d’une opération Dying Ember et une contribution internationale, le FBI a eu accès à distance aux routeurs compromis et a également utilisé le malware Moobot pour cette fois-ci supprimer des fichiers malveillants et des données volées.
Le ménage pour Moobot lui-même a ensuite été effectué. De manière réversible, le FBI a aussi modifié les règles du pare-feu pour bloquer l’accès à la gestion à distance des appareils. Il est en outre souligné la collecte temporaire d’informations de routage sans contenu.
Les autorités américaines préviennent que si un rétablissement de la configuration d’usine n’est pas accompagné d’une modification du mot de passe administrateur par défaut, le routeur sera exposé à des compromissions similaires.