Más de 1.000 enrutadores Ubiquiti en hogares y pequeñas empresas fueron infectados con malware utilizado por agentes respaldados por Rusia para coordinarlos en una botnet para operaciones criminales y de espionaje. según el Departamento de Justicia.
Ese malware, que funcionó como botnet para el grupo de hackers ruso oso de lujo, fue eliminado en enero de 2024 bajo una orden judicial secreta como parte de la «Operación Dying Ember», según el director del FBI. Afectó a los enrutadores que ejecutaban EdgeOS de Ubiquiti, pero solo a aquellos que no habían cambiado su contraseña administrativa predeterminada. El acceso a los enrutadores permitió al grupo de piratas informáticos «ocultar y permitir de otro modo una variedad de delitos», afirma el Departamento de Justicia, incluido el phishing y la recolección de credenciales en los EE. UU. y el extranjero.
A diferencia de ataques anteriores de Fancy Bear (que el Departamento de Justicia vincula a la Unidad Militar GRU 26165, también conocida como APT 28, Sofacy Group y Sednit, entre otros apodos), la intrusión de Ubiquiti se basó en un malware conocido, Llegará. Una vez infectados por «ciberdelincuentes ajenos a GRU», los agentes de GRU instalaron «scripts y archivos personalizados» para conectar y reutilizar los dispositivos, según el Departamento de Justicia.
El Departamento de Justicia también utilizó el malware Moobot para copiar y eliminar los archivos y datos de la botnet, según el Departamento de Justicia, y luego cambió las reglas de firewall de los enrutadores para bloquear el acceso a la administración remota. Durante la intrusión sancionada por el tribunal, el DOJ «permitió la recopilación temporal de información de enrutamiento sin contenido» que «expondría los intentos de GRU de frustrar la operación». Esto no «afectó la funcionalidad normal de los enrutadores ni recopiló información legítima sobre el contenido del usuario», afirma el DOJ.
«Por segunda vez en dos meses, hemos impedido que piratas informáticos patrocinados por el estado lanzaran ataques cibernéticos tras la cobertura de enrutadores estadounidenses comprometidos», dijo la Fiscal General Adjunta Lisa Monaco en un comunicado de prensa.
El DOJ afirma que notificará a los clientes afectados para pedirles que realicen un restablecimiento de fábrica, instalen el firmware más reciente y cambien su contraseña administrativa predeterminada.
Christopher A. Wray, director del FBI, amplió la operación Fancy Bear y las amenazas de piratería internacional en general en la actual Conferencia de Seguridad de Múnich. Rusia ha atacado recientemente cables submarinos y sistemas de control industrial en todo el mundo, dijo Wray. según un informe del New York Times. Y desde su invasión de Ucrania, Rusia se ha centrado en el sector energético estadounidense, dijo Wray.
El año pasado ha sido un momento activo para los ataques a enrutadores y otras infraestructuras de red. Los enrutadores TP-Link fueron encontrados infectados en mayo de 2023 con malware de un grupo supuestamente respaldado por China. En septiembre, se descubrió firmware modificado en enrutadores Cisco como parte de un una intrusión respaldada por China en empresas multinacionales, según las autoridades estadounidenses y japonesas. El malware que, según el Departamento de Justicia, estaba vinculado al gobierno chino era eliminado de los enrutadores SOHO por el FBI el mes pasado de manera similar a la operación revelada más recientemente, dirigida a dispositivos Cisco y Netgear que en su mayoría habían llegado al final de su vida útil y ya no recibían parches de seguridad.
En cada caso, los enrutadores brindaron un servicio muy valioso a los grupos; ese servicio era secundario a cualquier objetivo principal que pudieran tener ataques posteriores. Al anidarse dentro de los enrutadores, los piratas informáticos podrían enviar comandos desde sus ubicaciones en el extranjero, pero el tráfico parecería provenir de una ubicación mucho más segura dentro del país objetivo o incluso dentro de una empresa.
Atacantes internacionales han buscado un acceso similar dentro de la casa a través de productos VPN, como en el tres vulnerabilidades diferentes de Ivanti descubierto recientemente.