Grupos de ataque militares rusos están utilizando Ubiquiti EdgeRouter comprometidos para evadir la detección, dice el FBI en un aviso conjunto emitido con la NSA, el Comando Cibernético de EE.UU. y socios internacionales.

El FBI ha neutralizado una red de routers Ubiquiti Edge OS, controlada por el grupo de ciberespionaje APT28, vinculado a la inteligencia Rusa. Esta operación, denominada «Dying Ember», ha puesto de manifiesto la sofisticación y el alcance global de las tácticas de ciberespionaje empleadas por este grupo, destacando la urgencia de adoptar medidas de ciberseguridad robustas por parte de los usuarios de estos dispositivos.

Los ciberespías de la Unidad Militar 26165, parte de la Dirección Principal de Inteligencia del Estado Mayor (GRU - Russian Military Intelligence) de Rusia y rastreados como APT28 y Fancy Bear, están utilizando estos routers secuestrados y muy populares para construir extensas redes de bots que les ayudan a robar credenciales, recopilar hashes NTLMv2.

También se utilizan para alojar herramientas personalizadas y páginas de inicio de phishing en operaciones cibernéticas encubiertas dirigidas a militares, gobiernos y otras organizaciones en todo el mundo.

"Los EdgeRouters a menudo se envían con credenciales predeterminadas y protecciones de firewall limitadas o nulas para adaptarse a los proveedores de servicios de Internet inalámbricos (WISP)", advierte el aviso conjunto. "Además, los EdgeRouters no actualizan automáticamente el firmware a menos que un consumidor los configure para hacerlo".

A principios de este mes, el FBI desbarató una botnet de Ubiquiti EdgeRouters infectados con el malware Moobot por ciberdelincuentes no vinculados con APT28 que el grupo de hackers ruso luego reutilizó para construir una herramienta de ciberespionaje con alcance global.

En sus ataques, los actores de amenazas apuntaron a vulnerabilidades Zero-Day, incluida una vulnerabilidad crítica de elevación de privilegios en Microsoft Outlook en Windows (CVE-2023-23397), que aprovecharon para recopilar hashes NTLMv2 de cuentas de Outlook específicas. Como parte de estos ataques, los actores también instalaron herramientas disponibles públicamente, como Impacket ntlmrelayx.py y Responder, para ayudar con los ataques de retransmisión NTLM y para alojar servidores de autenticación NTLMv2 maliciosos. Actualmente hay exploits activos.

También es importante mantener el dispositivo actualizado. En julio pasado, se ha publicado un exploit de prueba de concepto (PoC) para la vulnerabilidad CVE-2023-31998 en Ubiquiti EdgeRouter. La vulnerabilidad en el miniupnpd de EdgeRouters y AirCube permite a los atacantes de LAN ejecutar código arbitrario. Actualmente también hay exploits activos.

Mientras investigaba los routers hackeados, el FBI descubrió varias herramientas y artefactos APT28, incluidos scripts de Python para robar credenciales de correo web, programas diseñados para recopilar hashing NTLMv2 y reglas de enrutamiento personalizadas que redirigían automáticamente el tráfico de phishing a una infraestructura de ataque dedicada.

APT28 es un notorio grupo de hackers ruso responsable de varios ataques cibernéticos de alto perfil desde que comenzaron a operar.

Cómo "revivir" Ubiquiti EdgeRouters secuestrados

El FBI y las agencias asociadas detrás del aviso recomiendan las siguientes medidas para deshacerse de la infección de malware y bloquear el acceso de APT28 a los routers comprometidos:

• Realice un restablecimiento de fábrica del hardware para eliminar los sistemas de archivos de archivos maliciosos
• Actualice a la última versión de firmware
• Cambiar los nombres de usuario y contraseñas predeterminados, y
• Implemente reglas de firewall estratégicas en las interfaces del lado WAN para evitar la exposición no deseada a servicios de administración remota.

El FBI está buscando información sobre la actividad de APT28 en EdgeRouters hackeados para evitar un mayor uso de estas técnicas y responsabilizar a los responsables.

La red de bots MooBot, empleada por APT28 (también conocido como Fancy Bear, entre otros nombres), fue inicialmente creada por cibercriminales no afiliados al GRU utilizando el malware Moobot para infectar routers Ubiquiti Edge OS con contraseñas predeterminadas conocidas públicamente. Posteriormente, APT28 aprovechó esta infraestructura para sus operaciones de ciberespionaje, desplegando herramientas maliciosas propias y recolectando datos sensibles a través de ataques de spear-phishing y la recolección de hashes NTLMv2, entre otras tácticas.

La operación «Dying Ember» permitió al FBI acceder remotamente a los routers comprometidos, eliminar datos y archivos maliciosos, y modificar reglas de firewall para bloquear el acceso remoto y prevenir reinfecciones por parte de los espías rusos. Esta intervención destaca la importancia de mantener los dispositivos de red actualizados y protegidos mediante prácticas de ciberseguridad efectivas.

Recomendaciones de Seguridad:

• Realizar un reinicio de fábrica de los routers afectados.
• Actualizar a la última versión del firmware disponible.
• Cambiar las credenciales predeterminadas por unas fuertes y únicas.
• Configurar reglas de firewall adecuadas para restringir el acceso remoto a los servicios de gestión del router.

Fuentes: ArsTechnica

https://unaaldia.hispasec.com/2024/02/alerta-de-ciberseguridad-amenaza-moobot-de-apt28-pone-en-peligro-a-usuarios-de-ubiquiti-edgerouter.html

Vía:
https://blog.segu-info.com.ar/2024/02/botnet-con-ubiquity-edgerouters.html