El Departamento de Justicia de los Estados Unidos anunció que ha logrado desmantelar una botnet operada por APT28, un actor vinculado a Rusia, que utilizó cientos de routers para pequeñas empresas y hogares en los EE. UU. con el fin de ocultar sus actividades maliciosas. Según el comunicado del Departamento de Justicia, la botnet permitió a APT28 llevar a cabo vastas campañas de spear-phishing y recopilación de credenciales dirigidas a objetivos de interés de inteligencia para el gobierno ruso, incluyendo organizaciones gubernamentales, militares, corporativas y de seguridad. APT28, también conocido como BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard, FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy y TA422, se estima que está vinculado a la Unidad 26165 del GRU, el directorio principal del Estado Mayor General de Rusia y ha estado activo desde al menos 2007.
La botnet, basada en Mirai, seleccionó routers fabricados por Ubiquiti para cooptarlos en una red de dispositivos que podían ser modificados para actuar como proxy y relatar tráfico malicioso mientras protegían sus direcciones IP reales. Según los documentos judiciales, los atacantes llevaron a cabo campañas de espionaje cibernético basándose en MooBot, un malware que permitió a los actores de amenazas obtener credenciales y hashes de NT LAN Manager (NTLM) v2 a través de scripts personalizados, así como alojar páginas de destino de spear-phishing y otras herramientas personalizadas para forzar contraseñas, robar contraseñas de usuario del router y propagar el malware MooBot a otros electrodomésticos.
La botnet explota los routers de Ubiquiti vulnerables y públicamente accesibles que aún utilizan contraseñas de administrador de fábrica, e implanta un malware SSH que permite el acceso remoto persistente al dispositivo. Se sospecha que APT28 encontró y accedió ilegalmente a los routers de Ubiquiti comprometidos realizando escaneos públicos de Internet utilizando un número de versión específico de OpenSSH como parámetro de búsqueda, y luego usó MooBot para acceder a esos routers.
Como parte de la operación autorizada por el tribunal, referida como «Dying Ember«, se han emitido una serie de comandos para copiar los archivos robados y maliciosos antes de eliminarlos y modificar las reglas del firewall para bloquear el acceso remoto de APT28 a los routers. La cantidad exacta de dispositivos que fueron comprometidos en los EE.UU. no se ha especificado, aunque el FBI señaló que podría cambiar. Los dispositivos Ubiquiti infectados han sido detectados en «casi todos los estados».
La interrupción de esta botnet se produce apenas unas semanas después de que los EE. UU. desmantelaran otra campaña de piratería, respaldada por el estado y originada en China, que aprovechó una botnet diferente denominada KV-botnet para atacar instalaciones de infraestructura críticas. En mayo pasado, EE. UU. también anunció el desmantelamiento de una red global comprometida por una cepa de malware avanzada llamada Snake, que fue utilizada por hackers asociados con el Servicio Federal de Seguridad de Rusia (FSB), también conocido como Turla. La operación «Dying Ember» marca un hito más en los esfuerzos del gobierno de los EE. UU. para combatir el ciberespionaje y la ciberdelincuencia, y puede tener implicaciones significativas para la seguridad cibernética en todo el mundo.
Vía The Hacker News
