Las autoridades estadounidenses han advertido a los usuarios de los productos EdgeRouter de Ubiquiti que pueden correr el riesgo de ser atacados por el actor estatal ruso Fancy Bear, también conocido como APT28 y Forest Blizzard/Strontium. En un aviso coordinado, en el que también firmaron agencias asociadas, incluido el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido y sus homólogos en Bélgica, Brasil, Francia, Alemania, Letonia, Lituania, Noruega, Polonia y Corea del Sur, el FBI, el Departamento de Seguridad Nacional La Agencia Nacional de Seguridad (NSA) y el Comando Cibernético de EE. UU. instaron a los usuarios de los productos afectados a estar en guardia. «Fancy Bear y Forest Blizzard (Strontium) han utilizado EdgeRouters comprometidos a nivel mundial para recopilar credenciales, recopilar resúmenes NTLMv2, tráfico de red proxy y alojar páginas de inicio de phishing y herramientas personalizadas», se lee en el aviso. A los usuarios de EdgeRouters se les ha pedido que realicen un restablecimiento de fábrica, actualicen a la última versión de firmware, cambien los nombres de usuario y las credenciales predeterminados e implementen reglas estratégicas de firewall en las interfaces del lado WAN. Los Ubiquiti EdgeRouters se han vuelto populares entre los usuarios y los actores de amenazas gracias a un sistema operativo fácil de usar basado en Linux. Desafortunadamente, también contienen dos fallas altamente peligrosas: los dispositivos a menudo se envían con credenciales predeterminadas y tienen protecciones de firewall limitadas, y no actualizan automáticamente su firmware a menos que el usuario los haya configurado para hacerlo. Fancy Bear utiliza enrutadores comprometidos para recopilar credenciales de víctimas, recopilar resúmenes, tráfico de red proxy y alojar páginas de inicio de phishing y otras herramientas personalizadas. Los objetivos de la operación incluyen instituciones académicas y de investigación, embajadas, contratistas de defensa y partidos políticos, ubicados en múltiples países de interés para la inteligencia rusa, incluida Ucrania. «Ninguna parte de un sistema es inmune a las amenazas», afirmó el director de seguridad cibernética de la NSA, Rob Joyce. “Como hemos visto, los adversarios han explotado vulnerabilidades en servidores, en software, en dispositivos que se conectan a sistemas, en credenciales de usuario, de muchas maneras. Ahora, vemos que ciberactores patrocinados por el Estado ruso abusan de los enrutadores comprometidos y nos unimos a esta CSA para brindar recomendaciones de mitigación”. Dan Black, gerente de Análisis de Espionaje Cibernético de Mandiant, que contribuyó a la investigación a partir de la cual se compiló el aviso, dijo: “Mandiant, en colaboración con nuestros socios, ha rastreado APT28 utilizando enrutadores comprometidos para realizar espionaje a nivel mundial durante los últimos dos años. Estos dispositivos han sido fundamentales para los esfuerzos del grupo por robar credenciales y entregar malware a gobiernos y operadores de infraestructura crítica en una variedad de sectores diferentes. “La actividad de APT28 es característica de un patrón más amplio de actores de amenazas rusos y de la República Popular China que están explotando dispositivos de red para permitir sus operaciones futuras. Los utilizan para enviar tráfico hacia y desde redes específicas mientras permanecen fuera del radar”. El anuncio del FBI/NSA se produce apenas quince días después de que el Departamento de Justicia de EE. UU. (DoJ) orquestara una eliminación masiva de una botnet compuesta por Ubiquiti EdgeRouters en las que las contraseñas predeterminadas nunca habían sido cambiadas, lo que permitió a Fancy Bear utilizar un malware llamado Moobot para instalar a medida. scripts y archivos y convertir los enrutadores vulnerables en activos en sus campañas de ciberespionaje. Si se necesitaban más pruebas del riesgo que tales tácticas entrañaban para los dispositivos de red perimetrales, en una operación similar en enero de 2024 se produjo la eliminación coordinada de una botnet creada por el actor de amenazas Volt Typhoon, respaldado por China, en la que se vieron cientos de Cisco y Netgear etiquetados como pequeños y enrutadores de oficinas domésticas infectados con un malware conocido como KV Botnet. De esta manera, China pudo ocultar el hecho de que era la fuente de los ataques perpetrados contra operadores de infraestructura nacional crítica en Estados Unidos y otros lugares.

Source link