Grupos de ataque militares rusos
están utilizando Ubiquiti EdgeRouter comprometidos
para evadir la detección, dice el FBI en un
aviso conjunto
emitido con la NSA, el Comando Cibernético de EE.UU. y socios internacionales.
Los ciberespías de la Unidad Militar 26165, parte de la Dirección Principal de
Inteligencia del Estado Mayor (GRU – Russian Military Intelligence) de Rusia y
rastreados como APT28 y Fancy Bear, están utilizando estos routers
secuestrados y muy populares para construir extensas redes de bots que les
ayudan a robar credenciales, recopilar hashes NTLMv2.
También se utilizan para alojar herramientas personalizadas y páginas de
inicio de phishing en operaciones cibernéticas encubiertas dirigidas a
militares, gobiernos y otras organizaciones en todo el mundo.
«Los EdgeRouters a menudo se envían con credenciales predeterminadas y
protecciones de firewall limitadas o nulas para adaptarse a los proveedores
de servicios de Internet inalámbricos (WISP)», advierte el aviso conjunto.
«Además, los EdgeRouters no actualizan automáticamente el firmware a menos
que un consumidor los configure para hacerlo».
A principios de este mes,
el FBI desbarató una botnet de Ubiquiti EdgeRouters infectados
con el malware Moobot por ciberdelincuentes no vinculados con
APT28
que el grupo de hackers ruso luego reutilizó para construir una herramienta de
ciberespionaje con alcance global.
En sus ataques, los actores de amenazas apuntaron a vulnerabilidades Zero-Day,
incluida una vulnerabilidad crítica de elevación de privilegios en Microsoft
Outlook en Windows (CVE-2023-23397), que aprovecharon para recopilar
hashes NTLMv2 de cuentas de Outlook específicas. Como parte de estos
ataques, los actores también instalaron herramientas disponibles públicamente,
como
Impacket ntlmrelayx.py
y Responder, para ayudar
con los ataques de retransmisión NTLM y para alojar servidores de
autenticación NTLMv2 maliciosos. Actualmente hay
exploits activos.
También es importante mantener el dispositivo actualizado. En julio pasado,
se ha publicado un exploit
de prueba de concepto (PoC) para la vulnerabilidad CVE-2023-31998 en Ubiquiti
EdgeRouter. La vulnerabilidad en el miniupnpd de EdgeRouters y AirCube permite a los atacantes de LAN ejecutar código arbitrario. Actualmente también hay exploits activos.
Mientras investigaba los routers hackeados, el
FBI descubrió varias herramientas y artefactos APT28, incluidos
scripts de Python para robar credenciales de correo web, programas
diseñados para recopilar hashing NTLMv2 y reglas de enrutamiento
personalizadas que redirigían automáticamente el tráfico de phishing a una
infraestructura de ataque dedicada.
APT28 es un notorio grupo de hackers ruso responsable de varios ataques
cibernéticos de alto perfil desde que comenzaron a operar.
Cómo «revivir» Ubiquiti EdgeRouters secuestrados
El FBI y las agencias asociadas detrás del aviso
recomiendan
las siguientes medidas para deshacerse de la infección de malware y bloquear
el acceso de APT28 a los routers comprometidos:
-
Realice un restablecimiento de fábrica del hardware para eliminar los
sistemas de archivos de archivos maliciosos - Actualice a la última versión de firmware
- Cambiar los nombres de usuario y contraseñas predeterminados, y
-
Implemente reglas de firewall estratégicas en las interfaces del lado WAN
para evitar la exposición no deseada a servicios de administración remota.
El FBI está buscando información sobre la actividad de APT28 en EdgeRouters
hackeados para evitar un mayor uso de estas técnicas y responsabilizar a los
responsables.
Fuente:
ArsTechnica
Los comentarios están cerrados.