Dans un nouvel avis conjoint, les agences de cybersécurité et de renseignement des États-Unis et d’autres pays exhortent les utilisateurs d’Ubiquiti EdgeRouter à prendre des mesures de protection, des semaines après qu’un botnet comprenant des routeurs infectés ait été abattu par les forces de l’ordre dans le cadre d’une opération nommée Dying Ember.
Le botnet, nommé MooBot, aurait été utilisé par un acteur malveillant lié à la Russie, connu sous le nom d’APT28, pour faciliter des cyberopérations secrètes et supprimer des logiciels malveillants personnalisés en vue d’une exploitation ultérieure. L’APT28, affiliée à la Direction générale de l’état-major russe (GRU), est connue pour être active depuis au moins 2007.
Les acteurs APT28 ont « utilisé des EdgeRouters compromis à l’échelle mondiale pour récolter des informations d’identification, collecter des résumés NTLMv2, du trafic réseau proxy et héberger des pages de destination de spear phishing et des outils personnalisés », selon les autorités. dit [PDF].
L’utilisation des EdgeRouters par l’adversaire remonte à 2022, avec des attaques ciblant les secteurs de l’aérospatiale et de la défense, de l’éducation, de l’énergie et des services publics, des gouvernements, de l’hôtellerie, de l’industrie manufacturière, du pétrole et du gaz, de la vente au détail, de la technologie et des transports en République tchèque, en Italie, en Lituanie, Jordanie, Monténégro, Pologne, Slovaquie, Turquie, Ukraine, Émirats arabes unis et États-Unis
Les attaques MooBot impliquent de cibler des routeurs avec des informations d’identification par défaut ou faibles pour déployer des chevaux de Troie OpenSSH, APT28 acquérant cet accès pour fournir un script bash et d’autres binaires ELF pour collecter des informations d’identification, le trafic réseau proxy, héberger des pages de phishing et d’autres outils.
Cela inclut des scripts Python pour télécharger les informations d’identification de compte appartenant à des utilisateurs de messagerie Web spécifiquement ciblés, qui sont collectées via des scripts intersites et des campagnes de spear phishing navigateur dans le navigateur (BitB).
APT28 a également été lié à l’exploitation de CVE-2023-23397 (score CVSS : 9,8), une faille d’élévation de privilèges critique désormais corrigée dans Microsoft Outlook qui pourrait permettre le vol de hachages NT LAN Manager (NTLM) et monter une attaque par relais. sans nécessiter aucune interaction de l’utilisateur.
Un autre outil de son arsenal de logiciels malveillants est MASEPIE, une porte dérobée Python capable d’exécuter des commandes arbitraires sur les machines victimes en utilisant des EdgeRouters Ubiquiti compromis comme infrastructure de commande et de contrôle (C2).
« Grâce à un accès root aux Ubiquiti EdgeRouters compromis, les acteurs APT28 bénéficient d’un accès illimité aux systèmes d’exploitation basés sur Linux pour installer des outils et dissimuler leur identité tout en menant des campagnes malveillantes », ont noté les agences.
Il est recommandé aux organisations d’effectuer une réinitialisation matérielle des routeurs pour vider les systèmes de fichiers des fichiers malveillants, mettre à niveau vers la dernière version du micrologiciel, modifier les informations d’identification par défaut et mettre en œuvre des règles de pare-feu pour empêcher l’exposition des services de gestion à distance.
Ces révélations sont le signe que les pirates informatiques des États-nations s’appuient de plus en plus sur les routeurs comme rampe de lancement pour leurs attaques, les utilisant pour créer des réseaux de zombies tels que VPNFilter, Cyclops Blink et KV-botnet et mener leurs activités malveillantes.
Le bulletin arrive un jour après que les pays Five Eyes ont appelé APT29 – le groupe de menace affilié au Service de renseignement extérieur russe (SVR) et l’entité derrière les attaques contre SolarWinds, Microsoft et HPE – pour avoir utilisé des comptes de service et des comptes dormants pour accéder au cloud. environnements dans les organisations cibles.