联邦调查局局长克里斯托弗·雷在参议院情报委员会作证

美国联邦调查局和司法部宣布，有关部门捣毁了俄罗斯军事情报机构用来开展全球网络间谍活动的一个由数百台受感染的小型办公室和家庭办公室路由器组成的网络。美国联邦调查局局长克里斯托弗·雷星期四在慕尼黑网络安全会议上说，这次行动的目的是“把俄罗斯GRU赶出”一个由受感染路由器组成的大型网络，“并锁上它们背后的门，阻止GRU进入一个僵尸网络，该僵尸网络是GRU用来对包括美国及其欧洲盟友在内的世界各国实施网络行动的。”美国司法部在声明中称，此次行动于1月份获得美国法院批准，拆除了GRU军事部队26165使用的僵尸网络，该僵尸网络针对的是仍在使用公开默认管理密码的Ubiquiti Edge操作系统路由器。该机构表示，黑客用Moobot恶意软件瞄准路由器，安装他们自己定制的脚本和文件，“改变僵尸网络的用途，把它变成一个全球网络间谍平台”。

Moobot是一种基于Mirai僵尸网络的恶意软件，由Fortinet首次详细介绍。美国司法部表示，该俄罗斯单位利用僵尸网络攻击情报目标，包括美国和外国政府，以及未具名的军事、安全和企业组织。这是美国政府在过去两个月里第二次摧毁国家支持的僵尸网络。今年1月，美国司法部宣布捣毁了一个僵尸网络，该网络是某国发起的“伏特台风”(Volt Typhoon)行动的一部分，旨在攻击美国关键基础设施目标。美国政府称，这是为军事冲突发生时采取行动做准备的一部分。

近年来，FBI采取了类似行动，目标是俄罗斯和某国的其他网络间谍工具，这是司法部更为积极主动的举措之一，目的是破坏犯罪和间谍组织所依赖的数字基础设施。美国司法部的声明称，FBI的行动“利用”了Moobot恶意软件，从受感染的路由器上复制和删除被盗的恶意数据和文件。它还修改了路由器的防火墙规则，以阻止对设备的远程管理访问，“并且在操作过程中，启用临时收集非内容路由信息，这将暴露GRU阻挠操作的企图。”Palo Alto Networks Unit 42和乌克兰政府在最近的公告中记录了Unit 26165的一些活动。Mandiant Intelligence的首席分析师约翰·胡尔特奎斯特(John Hultquist)说，26165部队，也被追踪为APT28，是针对民主党全国委员会(Democratic National Committee)的黑客泄密行动的同一支部队。

胡尔特奎斯特在一份声明中说:“这些行动不是万灵药，这个行动者很快就会带着新的计划回来，但随着选举的临近，现在是给GRU的行动增加摩擦的最佳时机。”“他们实施的黑客和泄密行动可能是我们所见过的对选举最有效的网络攻击，我们没有理由相信他们不会再次使用这种策略。”美国司法部表示，美国政府针对Ubiquiti Edge操作系统路由器的攻击并未影响设备的正常功能或收集“合法用户内容信息”。此外，联邦调查局采取的断开路由器与Moobot僵尸网络连接的步骤是暂时的，可以通过对设备进行出厂重置来逆转。美国司法部表示：“然而，如果出厂重置不同时更改默认管理员密码，将使路由器恢复到默认管理员凭据，从而使路由器容易再次感染或受到类似的攻击。”