El FBI desmanteló una botnet de enrutadores para pequeñas oficinas/oficinas domésticas (SOHO) utilizados por la Dirección Principal de Inteligencia del Estado Mayor (GRU) de Rusia para enviar tráfico malicioso y atacar a Estados Unidos y sus aliados en ataques de phishing y robo de credenciales.
Esta red de cientos de enrutadores Ubiquiti Edge OS infectados con malware Moobot estaba controlada por la Unidad Militar GRU 26165, también rastreada como APT28, Fancy Bear y Sednit.
Los objetivos de los piratas informáticos rusos incluyen gobiernos estadounidenses y extranjeros, entidades militares y organizaciones corporativas y de seguridad.
“Esta botnet se diferenciaba de las redes de malware anteriores del GRU y del Servicio Federal de Seguridad de Rusia (FSB) interrumpidas por el Departamento en que el GRU no la creó desde cero. En cambio, el GRU se basó en el malware ‘Moobot’, que está asociado con un grupo criminal conocido”, dijo el Departamento de Justicia .
Los ciberdelincuentes no vinculados con la GRU (Inteligencia Militar Rusa) primero se infiltraron en los enrutadores del sistema operativo Ubiquiti Edge e implementaron el malware Moobot, apuntando a dispositivos expuestos a Internet con contraseñas de administrador predeterminadas ampliamente conocidas.
Posteriormente, los piratas informáticos de GRU aprovecharon el malware Moobot para implementar sus propias herramientas maliciosas personalizadas, reutilizando efectivamente la botnet para convertirla en una herramienta de ciberespionaje con alcance global.
En los enrutadores comprometidos, el FBI descubrió una amplia gama de herramientas y artefactos APT28, desde scripts Python para recopilar credenciales de correo web y programas para robar resúmenes NTLMv2 hasta reglas de enrutamiento personalizadas que redirigían el tráfico de phishing a una infraestructura de ataque dedicada.
El FBI Borra el Malware y Bloquea los Access Remotos
Como parte de la “Operación Dying Ember” autorizada por el tribunal, los agentes del FBI accedieron de forma remota a los enrutadores comprometidos y utilizaron el malware Moobot para eliminar datos y archivos robados y maliciosos.
Luego, eliminaron el malware Moobot y bloquearon el acceso remoto que, de otro modo, habría permitido a los ciberespías rusos reinfectar los dispositivos.
“Además, para neutralizar el acceso del GRU a los enrutadores hasta que las víctimas puedan mitigar el compromiso y reafirmar el control total, la operación modificó reversiblemente las reglas de firewall de los enrutadores para bloquear el acceso de administración remota a los dispositivos, y durante el curso de la operación, “Permitió la recopilación temporal de información de enrutamiento sin contenido que expondría los intentos de GRU de frustrar la operación”, dijo el Departamento de Justicia.
Además de frustrar el acceso de GRU a los enrutadores, la operación no interrumpió la funcionalidad estándar de los dispositivos ni recopiló datos de los usuarios. Además, las acciones sancionadas por los tribunales que cortaron el vínculo de los enrutadores con la botnet Moobot son sólo temporales.
Los usuarios pueden revertir las reglas de firewall del FBI restableciendo los valores de fábrica de sus enrutadores o accediendo a ellos a través de las redes locales. Sin embargo, restablecer los dispositivos a los valores de fábrica sin cambiar la contraseña de administrador predeterminada los expondrá a una reinfección.
Interrupción de la Botnet China
Moobot es la segunda botnet utilizada por piratas informáticos patrocinados por el estado para evadir la detección interrumpida por el FBI en 2024 después de la eliminación de la botnet KV utilizada por los piratas informáticos estatales chinos Volt Typhoon en enero.
Desde entonces, CISA y el FBI también publicaron directrices para los fabricantes de enrutadores SOHO, instándolos a proteger sus dispositivos contra ataques continuos con la ayuda de configuraciones predeterminadas seguras y eliminando fallas en la interfaz de administración web durante el desarrollo.
El grupo de ciberespionaje APT28 estuvo vinculado anteriormente con el hackeo del Parlamento Federal alemán (Deutscher Bundestag) en 2015.
También estuvieron detrás de los ataques contra el Comité Demócrata de Campaña del Congreso (DCCC) y el Comité Nacional Demócrata (DNC) en 2016 (por los cuales fueron acusados en Estados Unidos dos años después).
El Consejo de la Unión Europea también sancionó a varios miembros del APT28 en octubre de 2020 por su participación en el ataque al Parlamento Federal alemán de 2015.