En un comunicado conjunto reciente, las agencias de inteligencia y ciberseguridad de Estados Unidos y otras naciones han urgido a los usuarios de Ubiquiti EdgeRouter a fortalecer sus medidas de protección. Este llamado se produce semanas después de la exitosa desarticulación de una botnet en una operación denominada Dying Ember, en la cual las fuerzas del orden lograron neutralizar enrutadores infectados.
La botnet en cuestión, denominada MooBot, se vincula a APT28, un actor de amenazas con conexiones a Rusia, específicamente asociado a la Dirección Principal del Estado Mayor de Rusia (GRU). APT28 ha estado activo desde al menos el año 2007, utilizando la botnet MooBot para facilitar operaciones cibernéticas encubiertas y lanzar malware personalizado con el objetivo de futuras explotaciones.
Según las autoridades, APT28 ha aprovechado EdgeRouters comprometidos a nivel mundial para llevar a cabo diversas actividades maliciosas, que incluyen la recopilación de credenciales, la obtención de resúmenes NTLMv2, la manipulación de tráfico de red proxy, así como la creación de páginas de inicio de phishing y herramientas personalizadas [PDF].
Este uso indebido de EdgeRouters por parte de APT28 se remonta al año 2022, y los blancos de los ataques han abarcado una amplia gama de sectores, como aeroespacial y defensa, educación, energía y servicios públicos, gobiernos, hotelería, manufactura, petróleo y gas, comercio minorista, tecnología y transporte. Los países afectados incluyen la República Checa, Italia, Lituania, Jordania, Montenegro, Polonia, Eslovaquia, Turquía, Ucrania, Emiratos Árabes Unidos y Estados Unidos.
Los ataques de MooBot se centran en apuntar a enrutadores que utilizan credenciales predeterminadas o débiles, desplegando troyanos OpenSSH. APT28 aprovecha este acceso para distribuir scripts bash y otros binarios ELF con el fin de recopilar credenciales, manipular el tráfico de red proxy, alojar páginas de phishing y utilizar diversas herramientas maliciosas.
En este conjunto de tácticas, se incluyen secuencias de comandos Python diseñadas para cargar credenciales de cuentas específicas de usuarios de correo web. Estas credenciales son obtenidas mediante secuencias de comandos entre sitios y campañas de phishing en el navegador, conocidas como “BitB”.
Adicionalmente, APT28 ha sido vinculado a la explotación de la vulnerabilidad CVE-2023-23397, una falla crítica de escalada de privilegios en Microsoft Outlook. Esta vulnerabilidad, ya corregida, tenía una puntuación CVSS de 9,8 y permitía el robo de hashes de NT LAN Manager (NTLM), facilitando un ataque de retransmisión sin necesidad de interacción del usuario.
Otra herramienta en el arsenal de malware de APT28 es MASEPIE, una puerta trasera de Python que puede ejecutar comandos arbitrarios en las máquinas víctimas. Utilizan los Ubiquiti EdgeRouters comprometidos como infraestructura de comando y control (C2).
Las agencias advierten que con acceso raíz a estos enrutadores comprometidos, los actores de APT28 tienen la capacidad de acceder ilimitadamente a sistemas operativos basados en Linux. Esto les permite instalar herramientas y ocultar su identidad mientras llevan a cabo sus campañas maliciosas.
Se aconseja a las organizaciones llevar a cabo un restablecimiento de fábrica en el hardware de sus enrutadores para eliminar cualquier sistema de archivos malicioso presente. Además, se insta a actualizar a la última versión del firmware, cambiar las credenciales predeterminadas y aplicar reglas de firewall para mitigar la exposición de servicios de administración remota.
Estas revelaciones indican una tendencia creciente en la que los hackers respaldados por estados nación emplean enrutadores como plataforma de lanzamiento para sus ataques, creando botnets notables como VPNFilter, Cyclops Blink y KV-botnet para llevar a cabo sus operaciones maliciosas.
El boletín fue emitido un día después de que las naciones pertenecientes a la alianza de los Cinco Ojos denunciaran a APT29, el grupo de amenazas vinculado al Servicio de Inteligencia Exterior (SVR) de Rusia. Este grupo, responsable de ataques previos a SolarWinds, Microsoft y HPE, fue señalado por utilizar cuentas de servicio y cuentas inactivas como medio para acceder a entornos en la nube dentro de las organizaciones objetivo.