El gobierno de Estados Unidos dijo el jueves que interrumpió una botnet compuesta por cientos de enrutadores de pequeñas oficinas y oficinas en el hogar (SOHO) en el país que fue utilizada por el actor APT28 vinculado a Rusia para ocultar sus actividades maliciosas.
«Estos delitos incluyeron vastas campañas de spear-phishing y recolección de credenciales similares contra objetivos de interés de inteligencia para el gobierno ruso, como gobiernos estadounidenses y extranjeros y organizaciones militares, de seguridad y corporativas», dijo el Departamento de Justicia de Estados Unidos (DoJ) en un comunicado.
Se estima que APT28, también rastreado bajo los apodos BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (anteriormente Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy y TA422, está vinculado a la Unidad 26165 de la Dirección Principal del Estado Mayor General (GRU) de Rusia. Se sabe que está activo desde al menos 2007.
Los documentos judiciales alegan que los atacantes llevaron a cabo sus campañas de ciberespionaje confiando en MooBot, una botnet basada en Mirai que ha seleccionado enrutadores fabricados por Ubiquiti para cooptarlos en una malla de dispositivos que pueden modificarse para actuar como un proxy, transmitiendo tráfico malicioso mientras protegen sus direcciones IP reales.
La botnet, dijo el Departamento de Justicia, permitió a los actores de amenazas enmascarar su verdadera ubicación y recolectar credenciales y hashes NT LAN Manager (NTLM) v2 a través de scripts personalizados, así como alojar páginas de destino de spear-phishing y otras herramientas personalizadas para forzar contraseñas, robar contraseñas de usuarios de enrutadores y propagar el malware MooBot a otros dispositivos.
En una declaración jurada redactada presentada por la Oficina Federal de Investigaciones (FBI) de EE. UU., la agencia dijo que MooBot explota enrutadores Ubiquiti vulnerables y de acceso público mediante el uso de credenciales predeterminadas e implanta un malware SSH que permite el acceso remoto persistente al dispositivo.
«Los ciberdelincuentes que no son GRU instalaron el malware MooBot en los enrutadores Ubiquiti Edge OS que aún usaban contraseñas de administrador predeterminadas conocidas públicamente», explicó el Departamento de Justicia. «Luego, los piratas informáticos de GRU utilizaron el malware MooBot para instalar sus propios scripts y archivos personalizados que reutilizaron la botnet, convirtiéndola en una plataforma global de ciberespionaje».
Se sospecha que los actores de APT28 encontraron y accedieron ilegalmente a enrutadores Ubiquiti comprometidos mediante la realización de escaneos públicos de Internet utilizando un número de versión específico de OpenSSH como parámetro de búsqueda, y luego usando MooBot para acceder a esos enrutadores.
Las campañas de spear-phishing emprendidas por el grupo de piratas informáticos también han aprovechado un día cero en Outlook (CVE-2023-23397) para desviar las credenciales de inicio de sesión y transmitirlas a los enrutadores.
«En otra campaña identificada, los actores de APT28 diseñaron una página de destino falsa de Yahoo! para enviar las credenciales ingresadas en la página falsa a un enrutador Ubiquiti comprometido para que los actores de APT28 las recopilaran a su conveniencia», dijo el FBI.
Como parte de sus esfuerzos para desbaratar la botnet en los EE. UU. y prevenir más delitos, se han emitido una serie de comandos no especificados para copiar los datos robados y los archivos maliciosos antes de eliminarlos y modificar las reglas del firewall para bloquear el acceso remoto de APT28 a los enrutadores.
El número exacto de dispositivos que se vieron comprometidos en Estados Unidos ha sido censurado, aunque el FBI señaló que podría cambiar. Los dispositivos Ubiquiti infectados se han detectado en «casi todos los estados», agregó.
La operación autorizada por el tribunal, conocida como Dying Ember, se produce apenas unas semanas después de que Estados Unidos desmantelara otra campaña de piratería patrocinada por el Estado originada en China que aprovechó una botnet diferente con nombre en código KV-botnet para atacar instalaciones de infraestructura crítica.
En mayo pasado, Estados Unidos también anunció el desmantelamiento de una red global comprometida por una cepa de malware avanzada denominada Snake manejada por piratas informáticos asociados con el Servicio Federal de Seguridad (FSB) de Rusia, también conocido como Turla.
Fuente: https://thehackernews.com