El gobierno de Estados Unidos afirmó, el jueves, que desbarató una botnet que comprende cientos de enrutadores de pequeñas oficinas y oficinas domésticas (SOHO) en el país que fue utilizada por el actor APT28 vinculado a Rusia para ocultar sus actividades maliciosas.
“Estos crímenes incluyeron vastas campañas de phishing y campañas similares de recolección de credenciales contra objetivos de interés de inteligencia para el gobierno ruso, como gobiernos estadounidenses y extranjeros y organizaciones militares, de seguridad y corporativas”, dijo el Departamento de Justicia de Estados Unidos (DoJ) en un declaración.
Se considera que APT28, también rastreado bajo los apodos BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (antes Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy y TA422, está vinculado a la Unidad 26165 de la Dirección Principal de Rusia. el Estado Mayor (GRU). Se sabe que está activo desde al menos 2007.
Los documentos judiciales alegan que los atacantes llevaron a cabo sus campañas de ciberespionaje confiando en MooBot, una botnet basada en Mirai que ha seleccionado enrutadores fabricados por Ubiquiti para incorporarlos a una red de dispositivos que pueden modificarse para actuar como proxy. retransmitir tráfico malicioso mientras protege sus direcciones IP reales.
La botnet, dijo el Departamento de Justicia, permitió a los actores de amenazas enmascarar su verdadera ubicación y recopilar credenciales y hashes NT LAN Manager (NTLM) v2 a través de scripts personalizados, así como alojar páginas de inicio de phishing y otras herramientas personalizadas para contraseñas de fuerza bruta. , robando contraseñas de usuarios de enrutadores y propagando el malware MooBot a otros dispositivos.
En una declaración jurada redactada presentada por la Oficina Federal de Investigaciones (FBI) de EE. UU., la agencia dijo que MooBot explota enrutadores Ubiquiti vulnerables y de acceso público mediante el uso de credenciales predeterminadas e implanta un malware SSH que permite el acceso remoto persistente al dispositivo.
Se sospecha que los actores de APT28 encontraron y accedieron ilegalmente a enrutadores Ubiquiti comprometidos realizando escaneos públicos de Internet utilizando un número de versión OpenSSH específico como parámetro de búsqueda y luego usando MooBot para acceder a esos enrutadores.
Las campañas de phishing llevadas a cabo por el grupo de piratas informáticos, también aprovecharon un día cero en Outlook (CVE-2023-23397) para desviar las credenciales de inicio de sesión y transmitirlas a los enrutadores.
Como parte de sus esfuerzos para interrumpir la botnet en los EE. UU. y prevenir más delitos, se han emitido una serie de comandos no especificados para copiar los datos robados y los archivos maliciosos antes de eliminarlos y modificar las reglas del firewall para bloquear el acceso remoto de APT28 a los enrutadores.
La cantidad exacta de dispositivos que fueron comprometidos en los EE. UU. ha sido censurada, aunque el FBI señaló que podría cambiar. Se han detectado dispositivos Ubiquiti infectados en “casi todos los estados”, añadió.
La operación autorizada por el tribunal, conocida como Dying Ember, se produce apenas unas semanas después de que Estados Unidos desmantelara otra campaña de piratería patrocinada por el Estado y originaria de China que aprovechó una botnet diferente con nombre en código KV-botnet para atacar instalaciones de infraestructura críticas.