El gobierno de EE. UU. dijo el jueves que desbarató una botnet que comprende cientos de enrutadores de pequeñas oficinas y oficinas domésticas (SOHO) en el país que fue utilizada por el actor APT28 vinculado a Rusia para ocultar sus actividades maliciosas.
«Estos crímenes incluyeron vastas campañas de phishing y campañas similares de recolección de credenciales contra objetivos de interés de inteligencia para el gobierno ruso, como gobiernos estadounidenses y extranjeros y organizaciones militares, de seguridad y corporativas», dijo el Departamento de Justicia de Estados Unidos (DoJ). dicho en una oracion.
Se considera que APT28, también rastreado bajo los apodos BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy y TA422, está vinculado a la Unidad 26165 de la Dirección Principal de Rusia. el Estado Mayor (GRU). Se sabe que está activo desde al menos 2007.
Los documentos judiciales alegan que los atacantes llevaron a cabo sus campañas de ciberespionaje confiando en MooBot, una botnet basada en Mirai que ha seleccionado enrutadores fabricados por Ubiquiti para incorporarlos a una red de dispositivos que pueden modificarse para actuar como proxy. retransmitir tráfico malicioso mientras protege sus direcciones IP reales.
La botnet, dijo el Departamento de Justicia, permitió a los actores de amenazas enmascarar su verdadera ubicación y recopilar credenciales y hashes NT LAN Manager (NTLM) v2 a través de scripts personalizados, así como alojar páginas de inicio de phishing y otras herramientas personalizadas para contraseñas de fuerza bruta. , robando contraseñas de usuarios de enrutadores y propagando el malware MooBot a otros dispositivos.
En una declaración jurada redactada presentada por la Oficina Federal de Investigaciones (FBI) de EE. UU., la agencia dijo que MooBot explota enrutadores Ubiquiti vulnerables y de acceso público mediante el uso de credenciales predeterminadas e implanta un malware SSH que permite el acceso remoto persistente al dispositivo.
«Los ciberdelincuentes que no pertenecen a GRU instalaron el malware MooBot en enrutadores con sistema operativo Ubiquiti Edge que todavía usaban contraseñas de administrador predeterminadas conocidas públicamente», explicó el Departamento de Justicia. «Los piratas informáticos de GRU luego utilizaron el malware MooBot para instalar sus propios scripts y archivos personalizados que reutilizaron la botnet, convirtiéndola en una plataforma global de ciberespionaje».
Se sospecha que los actores de APT28 encontraron y accedieron ilegalmente a enrutadores Ubiquiti comprometidos mediante la realización de escaneos públicos de Internet utilizando un número de versión específico de OpenSSH como parámetro de búsqueda y luego usando MooBot para acceder a esos enrutadores.
Las campañas de phishing llevadas a cabo por el grupo de hackers también aprovecharon un día cero en Outlook (CVE-2023-23397) para desviar las credenciales de inicio de sesión y transmitirlas a los enrutadores.
«En otra campaña identificada, los actores de APT28 diseñaron una página de inicio falsa de Yahoo! para enviar las credenciales ingresadas en la página falsa a un enrutador Ubiquiti comprometido para que los actores de APT28 las recopilen cuando les convenga», dijo el FBI.
Como parte de sus esfuerzos para interrumpir la botnet en los EE. UU. y prevenir más delitos, se han emitido una serie de comandos no especificados para copiar los datos robados y los archivos maliciosos antes de eliminarlos y modificar las reglas del firewall para bloquear el acceso remoto de APT28 a los enrutadores.
El número exacto de dispositivos que fueron comprometidos en EE.UU. ha sido censurado, aunque el FBI señaló que podría cambiar. Se han detectado dispositivos Ubiquiti infectados en «casi todos los estados», añadió.
La operación autorizada por el tribunal – denominada Ascua moribunda – se produce apenas unas semanas después de que Estados Unidos desmantelara otra campaña de piratería patrocinada por el estado y originada en China que aprovechó una botnet diferente con nombre en código KV-botnet para atacar instalaciones de infraestructura críticas.
En mayo pasado, Estados Unidos también anunció el desmantelamiento de una red global comprometida por una cepa de malware avanzado denominada Snake, utilizada por piratas informáticos asociados con el Servicio Federal de Seguridad (FSB) de Rusia, también conocido como Turla.