imágenes falsas
Según el Departamento de Justicia, más de 1.000 enrutadores Ubiquiti en hogares y pequeñas empresas fueron infectados con malware utilizado por agentes respaldados por Rusia para coordinarlos en una botnet para operaciones criminales y de espionaje.
Ese malware, que funcionó como una botnet para el grupo de hackers ruso Fancy Bear, fue eliminado en enero de 2024 bajo una orden judicial secreta como parte de la «Operación Dying Ember», según el director del FBI. Afectó a los enrutadores que ejecutaban EdgeOS de Ubiquiti, pero solo a aquellos que no habían cambiado su contraseña administrativa predeterminada. El acceso a los enrutadores permitió al grupo de piratas informáticos «ocultar y permitir de otro modo una variedad de delitos», afirma el Departamento de Justicia, incluido el phishing y la recolección de credenciales en los EE. UU. y el extranjero.
A diferencia de ataques anteriores de Fancy Bear (que el Departamento de Justicia vincula a la Unidad Militar GRU 26165, también conocida como APT 28, Sofacy Group y Sednit, entre otros apodos), la intrusión de Ubiquiti se basó en un conocido malware, Moobot. Una vez infectados por «ciberdelincuentes ajenos a GRU», los agentes de GRU instalaron «scripts y archivos personalizados» para conectar y reutilizar los dispositivos, según el Departamento de Justicia.
El Departamento de Justicia también utilizó el malware Moobot para copiar y eliminar los archivos y datos de la botnet, según el Departamento de Justicia, y luego cambió las reglas de firewall de los enrutadores para bloquear el acceso a la administración remota. Durante la intrusión sancionada por el tribunal, el DOJ «permitió la recopilación temporal de información de enrutamiento sin contenido» que «expondría los intentos de GRU de frustrar la operación». Esto no «afectó la funcionalidad normal de los enrutadores ni recopiló información legítima sobre el contenido del usuario», afirma el DOJ.
«Por segunda vez en dos meses, hemos impedido que piratas informáticos patrocinados por el estado lanzaran ataques cibernéticos detrás de enrutadores estadounidenses comprometidos», dijo la Fiscal General Adjunta Lisa Monaco en un comunicado de prensa.
El DOJ afirma que notificará a los clientes afectados para pedirles que realicen un restablecimiento de fábrica, instalen el firmware más reciente y cambien su contraseña administrativa predeterminada.
Christopher A. Wray, director del FBI, amplió la operación Fancy Bear y las amenazas de piratería internacional en general en la actual Conferencia de Seguridad de Múnich. Rusia ha atacado recientemente cables submarinos y sistemas de control industrial en todo el mundo, dijo Wray, según un informe del New York Times. Y desde su invasión de Ucrania, Rusia se ha centrado en el sector energético estadounidense, dijo Wray.
El año pasado ha sido un momento activo para los ataques a enrutadores y otras infraestructuras de red. Los enrutadores TP-Link se encontraron infectados en mayo de 2023 con malware de un grupo supuestamente respaldado por China. En septiembre, según las autoridades estadounidenses y japonesas, se descubrió firmware modificado en enrutadores Cisco como parte de una intrusión respaldada por China en empresas multinacionales. El mes pasado, el FBI eliminó el malware que, según el DOJ, estaba vinculado al gobierno chino de los enrutadores SOHO de manera similar a la operación revelada más recientemente, dirigida a dispositivos Cisco y Netgear que en su mayoría habían llegado al final de su vida útil y ya no recibían parches de seguridad.
En cada caso, los enrutadores brindaron un servicio muy valioso a los grupos; ese servicio era secundario a cualquier objetivo principal que pudieran tener ataques posteriores. Al anidarse dentro de los enrutadores, los piratas informáticos podrían enviar comandos desde sus ubicaciones en el extranjero, pero el tráfico parecería provenir de una ubicación mucho más segura dentro del país objetivo o incluso dentro de una empresa.
Atacantes internacionales han buscado un acceso interno similar a través de productos VPN, como en las tres vulnerabilidades diferentes de Ivanti descubiertas recientemente.