Hackers russos sequestram roteadores Ubiquiti para lançar ataques furtivos
28 de Fevereiro de 2024

Hackers militares russos estão usando EdgeRouters Ubiquiti comprometidos para evitar detecção, afirma o FBI em um comunicado conjunto emitido com a Agência de Segurança Nacional dos EUA (NSA), o Comando Cibernético dos EUA e parceiros internacionais.

Os ciberespiões da Unidade Militar 26165, parte da Direção Principal de Inteligência do Estado-Maior Geral da Rússia (GRU) e rastreados como APT28 e Fancy Bear, estão usando esses roteadores sequestrados e muito populares para construir extensas redes de bots que os ajudam a roubar credenciais, coletar resumos NTLMv2 e fazer tráfego malicioso de proxy.

Eles também são usados para hospedar ferramentas personalizadas e páginas de desembarque de phishing durante operações cibernéticas secretas voltadas para militares, governos e outras organizações ao redor do mundo.

"EdgeRouters são frequentemente enviados com credenciais padrão e com pouca ou nenhuma proteção de firewall para acomodar provedores de serviço de internet sem fio (WISPs)", adverte o comunicado conjunto.

"Além disso, os EdgeRouters não atualizam automaticamente o firmware a menos que um usuário os configure para fazer isso."

No início deste mês, o FBI interrompeu uma rede de bots de EdgeRouters Ubiquiti infectados com o malware Moobot por cibercriminosos não ligados ao APT28 que o grupo de hackers russo mais tarde usou para construir uma ferramenta de espionagem cibernética com alcance global.

Ao investigar os roteadores hackeados, o FBI descobriu várias ferramentas e artefatos do APT28, incluindo scripts Python para roubar credenciais de webmail, programas projetados para coletar resumos NTLMv2 e regras de roteamento personalizadas que redirecionam automaticamente o trafego de phishing para infraestrutura de ataque dedicada.

O APT28 é um notório grupo de hackers russos responsável por vários ataques cibernéticos de alto perfil desde que começaram a operar.

Eles violaram o parlamento federal alemão (Deutscher Bundestag) e estiveram por trás dos ataques ao Comitê de Campanha do Congresso Democrático (DCCC) e ao Comitê Nacional Democrático (DNC) antes das eleições presidenciais dos EUA em 2016.

Dois anos depois, membros do APT28 foram acusados nos EUA por sua participação nos ataques ao DNC e ao DCCC.

O Conselho da União Europeia também sancionou membros do APT28 em outubro de 2020 por seu envolvimento no ataque ao parlamento federal alemão.

O FBI e as agências parceiras por trás do comunicado de hoje recomendam as seguintes medidas para se livrar da infecção por malware e bloquear o acesso do APT28 aos roteadores comprometidos:

Realize um reset de fábrica do hardware para limpar os sistemas de arquivos de arquivos maliciosos; Atualize para a versão mais recente do firmware; Mude todos os nomes de usuário e senhas padrão e; Implemente regras de firewall estratégicas nas interfaces WAN-side para evitar a exposição indesejada aos serviços de gerenciamento remoto.

O FBI está buscando informações sobre a atividade do APT28 em EdgeRouters hackeados para prevenir o uso adicional dessas técnicas e responsabilizar os culpados.

Você deve relatar qualquer atividade suspeita ou criminosa relacionada a esses ataques ao escritório local do FBI ou ao Centro de Queixas de Crimes na Internet do FBI (IC3).

Um alerta conjunto emitido pelas autoridades dos EUA e do Reino Unido também avisou há seis anos, em abril de 2018, que atacantes apoiados pelo estado russo estavam ativamente visando e hackeando roteadores domésticos e empresariais.

Como o comunicado de abril de 2018 advertiu, hackers russos historicamente visam equipamentos de roteamento da Internet para usar em ataques man-in-the-middle em apoio a campanhas de espionagem, manter acesso persistente às redes das vítimas e estabelecer uma base para outras operações ofensivas.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...