Das US-Justizministerium hat Malware, die mit Kriminellen und den russischen Militärgeheimdienst in Verbindung gebracht wird, von über 1.000 Routern entfernt, ohne Wissen der Eigentümer. Im Januar 2024 führte das US-Justizministerium eine geheime, vom Gericht genehmigte Operation mit dem Codenamen Dying Ember durch, um Malware von Ubiquiti-Routern in US-Haushalten und Unternehmen mit Ubiquiti Edge OS zu löschen. Doch nicht nur in den USA waren Router betroffen. Die Malware wurde nach Angaben des Ministeriums von der russischen Hackergruppe APT 28 alias Fancy Bear alias Einheit 26165 auf Routern des Herstellers Ubiquiti verwendet, um ein Botnetz für Spionage zu etablieren. Fancy Bear gehört laut Justizministerium zum russischen Militärgeheimdienst GRU. Die Botnet-Malware, bekannt als Moobot, wurde zuvor von Cyberkriminellen, die nicht zum GRU gehören, auf den Routern platziert. GRU-Agenten der Einheit 26165 installierten dann der Darstellung der USA nach zusätzliche Skripte, um die kompromittierten Geräte zu kontrollieren, so das DOJ. Der GRU nutzte also die von Kriminellen geschaffene Infrastruktur und baute sie nicht selbst auf. Durch die Infiltrierung der Router konnte der GRU Straftaten wie Spearphishing verüben. Der Zugriff ermöglichte eine umfassende Überwachung der Nutzer und Unternehmen und Behörden, die die Router einsetzen. Über den Inhalt der Angriffe oder konkrete Opfer ist nichts bekannt. Um die Malware zu entfernen, kopierte das FBI die Botnet-Dateien zur Analyse durch die NSA. Dann änderte es die Firewall-Einstellungen auf den Routern, beendete den Fernzugriff und löschte Moobot und andere Malware. Die vom Gericht genehmigte Operation sammelte kurzzeitig Daten von Routern, um mögliche Störungen ihrer Aktion zu überwachen, hörte die Nutzer aber nicht ab, so das US-Justizministerium.
via golem: OHNE WISSEN DER EIGENTÜMER: US-Justizministerium entfernt russische Malware von Routern
siehe auch: US-geführte Operation Russisches Spionagenetz ausgeschaltet. Sicherheitsbehörden in Deutschland und den USA haben ein globales Spionagenetz der Hackergruppe ATP 28 ausgeschaltet. Im Auftrag von Russland wurden offenbar Regierungen, Militär, Behörden und Konzerne ausgespäht – auch in Deutschland.Deutsche Sicherheitsbehörden haben in einer US-geleiteten Operation dazu beigetragen, ein russisches Computer-Spionagenetz auszuschalten.Die Hackergruppe APT 28 hatte Behördenangaben zufolge im Auftrag des russischen Militärgeheimdiensts (GRU) Schadsoftware auf Hunderten von kleinen Routern in Büros und privaten Haushalten installiert. Das so geschaffene Netz wurde als globale Cyberspionage-Plattform genutzt, wie aus einer Mitteilung der US-Bundespolizeibehörde FBI und aus Erläuterungen eines Sprechers des Bundesinnenministeriums hervorgeht