El FBI y sus socios de otros 10 países están instando a los propietarios de Ubiquiti EdgeRouters a revisar sus equipos para detectar signos de que han sido pirateados y están siendo utilizados para ocultar operaciones maliciosas en curso por parte de piratas informáticos estatales rusos.
Los Ubiquiti EdgeRouters son un escondite ideal para los piratas informáticos. El equipo económico, utilizado en hogares y oficinas pequeñas, ejecuta una versión de Linux que puede albergar malware que se ejecuta subrepticiamente detrás de escena. Luego, los piratas informáticos utilizan los enrutadores para llevar a cabo sus actividades maliciosas. En lugar de utilizar infraestructura y direcciones IP que se sabe que son hostiles, las conexiones provienen de dispositivos de apariencia benigna alojados en direcciones con reputación confiable, lo que les permite recibir luz verde de las defensas de seguridad.
Acceso sin restricciones
“En resumen, con acceso raíz a Ubiquiti EdgeRouters comprometidos, los actores de APT28 tienen acceso ilimitado a sistemas operativos basados en Linux para instalar herramientas y ofuscar su identidad mientras realizan campañas maliciosas”, escribieron funcionarios del FBI en un consultivo Martes.
APT28, uno de los nombres utilizados para rastrear a un grupo respaldado por la Dirección Principal de Inteligencia del Estado Mayor ruso conocido como GRU, ha estado haciendo eso durante al menos los últimos cuatro años, según ha alegado el FBI. A principios de este mes, el FBI reveló que había eliminado discretamente el malware ruso de los enrutadores de hogares y empresas estadounidenses. La operación, que recibió autorización judicial previa, agregó reglas de firewall que evitarían que APT28, también rastreado con nombres como Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear y Sed nit, pudiera recuperar el control de los dispositivos.
El martes, funcionarios del FBI señalaron que la operación solo eliminó el malware utilizado por APT28 y bloqueó temporalmente al grupo que usaba su infraestructura para que no los reinfectara. La medida no hizo nada para reparar las vulnerabilidades en los enrutadores ni para eliminar las credenciales débiles o predeterminadas que los piratas informáticos podrían aprovechar para usar los dispositivos una vez más para alojar su malware subrepticiamente.
“El Departamento de Justicia de Estados Unidos, incluido el FBI, y socios internacionales desmantelaron recientemente una botnet GRU que constaba de enrutadores de este tipo”, advirtieron. “Sin embargo, los propietarios de dispositivos relevantes deben tomar las acciones correctivas que se describen a continuación para garantizar el éxito a largo plazo del esfuerzo de interrupción e identificar y remediar cualquier compromiso similar”.
Esas acciones incluyen:
- Realice un restablecimiento de fábrica del hardware para eliminar todos los archivos maliciosos
- Actualice a la última versión de firmware
- Cambie los nombres de usuario y contraseñas predeterminados
- Implemente reglas de firewall para restringir el acceso externo a los servicios de administración remota.
El aviso del martes decía que APT28 ha estado utilizando los enrutadores infectados desde al menos 2022 para facilitar operaciones encubiertas contra gobiernos, ejércitos y organizaciones de todo el mundo, incluida la República Checa, Italia, Lituania, Jordania, Montenegro, Polonia, Eslovaquia, Turquía. Ucrania, los Emiratos Árabes Unidos y Estados Unidos. Además de los organismos gubernamentales, las industrias a las que se dirigen incluyen la aeroespacial y de defensa, la educación, la energía y los servicios públicos, la hotelería, la manufactura, el petróleo y el gas, el comercio minorista, la tecnología y el transporte. APT28 también se ha dirigido a personas en Ucrania.
Los piratas informáticos rusos obtuvieron el control de los dispositivos después de que ya estaban infectados con Moobot, que es un malware botnet utilizado por actores de amenazas con motivación financiera no afiliados al GRU. Estos actores de amenazas instalaron Moobot después de explotar por primera vez las credenciales de administrador predeterminadas conocidas públicamente que no habían sido eliminadas de los dispositivos por las personas que los poseían. Luego, APT28 utilizó el malware Moobot para instalar scripts personalizados y malware que convirtieron la botnet en una plataforma global de ciberespionaje.