{"id":292516,"date":"2024-02-20T12:07:37","date_gmt":"2024-02-20T11:07:37","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=292516"},"modified":"2024-02-28T12:49:04","modified_gmt":"2024-02-28T11:49:04","slug":"strafverfolger-zerschlagen-russisches-spionagenetz-aus-routern-setzt-eure-ubiquiti-router-zurck","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/02\/20\/strafverfolger-zerschlagen-russisches-spionagenetz-aus-routern-setzt-eure-ubiquiti-router-zurck\/","title":{"rendered":"Strafverfolger zerschlagen russisches Spionagenetz aus Routern; setzt eure Ubiquiti Router zurück"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Noch ein kleiner Nachtrag vom Wochenende. Internationale Strafverfolger (FBI, BKA etc.) haben ein mutma\u00dflich russisches Spionagenetzwerk zerschlagen, welches Router des Herstellers Ubiquiti befallen hat. Das Spionagenetzwerk wurde nun zwar abgeschaltet. Aber Nutzer von Ubiquiti-Routern sollten nun reagieren und die Ger\u00e4te erstens mit einem eigenen Passwort versehen und zudem auf den aktuellen Firmwarestand bringen.<\/p>\n

<\/p>\n

\"\"Die Meldung \u00fcber die Zerschlagung eines Spionagenetzwerks wurde bereits vorige Woche Donnerstag, den 15. Februar 2024, ver\u00f6ffentlicht. Im Beitrag Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation's Main Intelligence Directorate of the General Staff (GRU)<\/a> teilt das US-Justizministerium mit, dass ein US-Gericht im Januar 2024 die Genehmigung zur Zerschlagung des Spionagenetzwerks erteilt habe.<\/p>\n

SOHO-Router von Ubiquiti befallen<\/h2>\n

Das Spionagenetzwerk bestand aus Hunderten von SOHO-Routern (Small Office\/Home Office), und wurde von der GRU-Milit\u00e4reinheit 26165, auch bekannt als APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear und Sednit, genutzt, um eine Vielzahl von Straftaten zu verschleiern und zu erm\u00f6glichen.<\/p>\n

Zu diesen Straftaten geh\u00f6rten ausgedehnte Spearphishing- und \u00e4hnliche Kampagnen zum Sammeln von Zugangsdaten gegen Ziele, die f\u00fcr die russische Regierung von nachrichtendienstlichem Interesse sind, wie US-amerikanische und ausl\u00e4ndische Regierungen sowie Milit\u00e4r-, Sicherheits- und Unternehmensorganisationen. Die Aktivit\u00e4ten der Einheit 26165 f\u00fchrte in den letzten Monaten zu einer Beratung des privaten Sektors im Hinblick auf die Cybersicherheit und zu einer Warnung der ukrainischen Regierung.<\/p>\n

Moobot-Malware-Netz \u00fcbernommen<\/h2>\n

Dieses Botnetz unterscheidet sich von fr\u00fcheren Malware-Netzwerken des GRU und des russischen F\u00f6deralen Sicherheitsdienstes (FSB), dadurch, dass der GRU es nicht von Grund auf neu erstellt hat. Stattdessen st\u00fctzte sich die GRU auf die \"Moobot\"-Malware, die mit einer bekannten kriminellen Gruppe in Verbindung gebracht wird. Cyberkriminelle, die nicht der GRU angeh\u00f6ren, installierten die Moobot-Malware auf Ubiquiti Edge OS-Routern, die noch \u00f6ffentlich bekannte Standard-Administratorpassw\u00f6rter verwendeten. Die GRU-Hacker nutzten dann die Moobot-Malware, um ihre eigenen ma\u00dfgeschneiderten Skripte und Dateien zu installieren, die das Botnetz umfunktionierten und in eine globale Cyberspionageplattform verwandelten.\u00b4<\/p>\n

Gericht genehmigte Zerschlagung<\/h2>\n

Die vom Gericht autorisierte Operation des Ministeriums nutzte die Moobot-Malware, um gestohlene und b\u00f6sartige Daten und Dateien von den kompromittierten Routern zu kopieren und zu l\u00f6schen. Um den Zugriff der GRU auf die Router zu neutralisieren, bis die Opfer die Kompromittierung entsch\u00e4rfen und die volle Kontrolle wiedererlangen k\u00f6nnen, wurden die Firewall-Regeln der Router reversibel ge\u00e4ndert.<\/p>\n

Dadurch wurde der Fernverwaltungszugriff auf die Ger\u00e4te blockiert. Weiterhin wurde im Verlauf der Operation die vor\u00fcbergehende Sammlung von Routing-Informationen ohne Inhalt aktiviert, um die Versuche der GRU, die Operation zu vereiteln, aufzudecken w\u00fcrden. Vor der Operation wurde die \u00dcbernahme der betreffenden Ubiquiti Edge OS Router ausgiebig getestet. Abgesehen von der Blockade des Remotezugriffs der GRU auf die Router hatte der Vorgang keine Auswirkungen auf die normale Funktionalit\u00e4t der Router oder das Sammeln legitimer Benutzerdaten.<\/p>\n

Nutzer m\u00fcssen reagieren<\/h2>\n

Nun liegt es an den Nutzern, auf die Entfernung infizierter Router vom Moobot-Netzwerk zu reagieren. Die Benutzer k\u00f6nnen die \u00c4nderungen der Firewall-Regeln r\u00fcckg\u00e4ngig machen, indem sie ihre Router auf die Werkseinstellungen zur\u00fccksetzen oder \u00fcber ihr lokales Netzwerk auf ihre Router zugreifen (z. B. \u00fcber die webbasierte Benutzeroberfl\u00e4che der Router).<\/p>\n

Ein Zur\u00fccksetzen des Routers auf die Werkseinstellungen ohne gleichzeitige \u00c4nderung des Standard-Administrator-Passworts f\u00fchrt jedoch dazu, dass der Router wieder mit den Standard-Administrator-Anmeldeinformationen betrieben wird, wodurch er f\u00fcr eine erneute Infektion oder \u00e4hnliche Angriffe anf\u00e4llig wird. Um sich zu sch\u00fctzen, r\u00e4t das FBI allen Opfern, die folgenden Schritte zur Abhilfe durchzuf\u00fchren:<\/p>\n