Hackers militares russos estão usando EdgeRouters Ubiquiti comprometidos para evitar detecção, afirma o FBI em um comunicado conjunto emitido com a Agência de Segurança Nacional dos EUA (NSA), o Comando Cibernético dos EUA e parceiros internacionais.
Os ciberespiões da Unidade Militar 26165, parte da Direção Principal de Inteligência do Estado-Maior Geral da Rússia (GRU) e rastreados como APT28 e Fancy Bear, estão usando esses roteadores sequestrados e muito populares para construir extensas redes de bots que os ajudam a roubar credenciais, coletar resumos NTLMv2 e fazer tráfego malicioso de proxy.
Eles também são usados para hospedar ferramentas personalizadas e páginas de desembarque de phishing durante operações cibernéticas secretas voltadas para militares, governos e outras organizações ao redor do mundo.
"EdgeRouters são frequentemente enviados com credenciais padrão e com pouca ou nenhuma proteção de firewall para acomodar provedores de serviço de internet sem fio (WISPs)", adverte o comunicado conjunto.
"Além disso, os EdgeRouters não atualizam automaticamente o firmware a menos que um usuário os configure para fazer isso."
No início deste mês, o FBI interrompeu uma rede de bots de EdgeRouters Ubiquiti infectados com o malware Moobot por cibercriminosos não ligados ao APT28 que o grupo de hackers russo mais tarde usou para construir uma ferramenta de espionagem cibernética com alcance global.
Ao investigar os roteadores hackeados, o FBI descobriu várias ferramentas e artefatos do APT28, incluindo scripts Python para roubar credenciais de webmail, programas projetados para coletar resumos NTLMv2 e regras de roteamento personalizadas que redirecionam automaticamente o trafego de phishing para infraestrutura de ataque dedicada.
O APT28 é um notório grupo de hackers russos responsável por vários ataques cibernéticos de alto perfil desde que começaram a operar.
Eles violaram o parlamento federal alemão (Deutscher Bundestag) e estiveram por trás dos ataques ao Comitê de Campanha do Congresso Democrático (DCCC) e ao Comitê Nacional Democrático (DNC) antes das eleições presidenciais dos EUA em 2016.
Dois anos depois, membros do APT28 foram acusados nos EUA por sua participação nos ataques ao DNC e ao DCCC.
O Conselho da União Europeia também sancionou membros do APT28 em outubro de 2020 por seu envolvimento no ataque ao parlamento federal alemão.
O FBI e as agências parceiras por trás do comunicado de hoje recomendam as seguintes medidas para se livrar da infecção por malware e bloquear o acesso do APT28 aos roteadores comprometidos:
Realize um reset de fábrica do hardware para limpar os sistemas de arquivos de arquivos maliciosos; Atualize para a versão mais recente do firmware; Mude todos os nomes de usuário e senhas padrão e; Implemente regras de firewall estratégicas nas interfaces WAN-side para evitar a exposição indesejada aos serviços de gerenciamento remoto.
O FBI está buscando informações sobre a atividade do APT28 em EdgeRouters hackeados para prevenir o uso adicional dessas técnicas e responsabilizar os culpados.
Você deve relatar qualquer atividade suspeita ou criminosa relacionada a esses ataques ao escritório local do FBI ou ao Centro de Queixas de Crimes na Internet do FBI (IC3).
Um alerta conjunto emitido pelas autoridades dos EUA e do Reino Unido também avisou há seis anos, em abril de 2018, que atacantes apoiados pelo estado russo estavam ativamente visando e hackeando roteadores domésticos e empresariais.
Como o comunicado de abril de 2018 advertiu, hackers russos historicamente visam equipamentos de roteamento da Internet para usar em ataques man-in-the-middle em apoio a campanhas de espionagem, manter acesso persistente às redes das vítimas e estabelecer uma base para outras operações ofensivas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...