Agencias de ciberseguridad e inteligencia de EE. UU. y otros países emitieron una alerta conjunta sobre la seguridad del Ubiquiti EdgeRouter, semanas después de que las autoridades desmantelaran una botnet de routers infectados llamada MooBot. Se cree que esta botnet fue utilizada por APT28, un grupo de amenazas vinculado al Ministerio de Defensa de Rusia, para actividades maliciosas y para colocar malware personalizado.
APT28 ha utilizado EdgeRouters comprometidos para recopilar credenciales, recopilar información en red, alojar páginas de phishing y lanzar ataques a empresas y gobiernos. Los ataques se registraron en varios países, incluyendo República Checa, Italia, Lituania, Jordán, Montenegro, Polonia, Eslovaquia, Turquía, Ucrania, los Emiratos Árabes Unidos y los Estados Unidos.
Los ataques MooBot aprovechan credenciales de inicio de sesión débiles o predeterminadas para instalar troyanos OpenSSH y entregar scripts bash y binarios ELF para recopilar credenciales, alojar páginas de phishing y realizar otras actividades maliciosas.
Las agencias recomendaron a las organizaciones que realicen un reinicio de fábrica de los routers, actualicen el firmware y cambien las credenciales predeterminadas para evitar la exposición de servicios de administración remota. Además, la alerta indica que los hackers estatales están utilizando cada vez más routers como plataforma de lanzamiento para sus ataques, y se vinculó a APT29, el grupo de amenazas responsable de los ataques a SolarWinds, Microsoft y HPE, con la utilización de cuentas de servicio y cuentas inactivas para acceder a entornos en la nube en organizaciones objetivo.
En resumen, se recomienda actualizar y proteger los routers del Ubiquiti EdgeRouter para evitar ser víctimas de botnets como MooBot y la actividad maliciosa de grupos como APT28 y APT29. El reinicio de fábrica, la actualización de firmware y las reglas de firewall pueden ayudar a proteger los sistemas de estas amenazas.
Vía The Hacker News