Ciberseguridad 360 | El FBI desarticula botnet Moobot utilizada por hackers militares rusos

El gobierno de Estados Unidos inform� el jueves de que hab�a desbaratado una red de bots compuesta por cientos de routers para peque�as oficinas y oficinas dom�sticas (SOHO) en el pa�s que el actor APT28, vinculado a Rusia, utilizaba para ocultar sus actividades maliciosas.

"Estos delitos inclu�an vastas campa�as de spear-phishing y de recogida de credenciales similares contra objetivos de inter�s de inteligencia para el gobierno ruso, como gobiernos estadounidenses y extranjeros y organizaciones militares, de seguridad y corporativas", dijo el Departamento de Justicia de Estados Unidos (DoJ) en un comunicado.

APT28, tambi�n rastreada bajo los alias BlueDelta, Fancy Bear, Fighting Ursa, Forest Blizzard (antes Strontium), FROZENLAKE, Iron Twilight, Pawn Storm, Sednit, Sofacy y TA422, est� vinculada a la Unidad 26165 de la Direcci�n Principal del Estado Mayor (GRU) de Rusia. Se sabe que est� activa desde al menos 2007.

Los documentos judiciales alegan que los atacantes llevaron a cabo sus campa�as de ciberespionaje apoy�ndose en MooBot, una red de bots basada en Mirai que ha seleccionado routers fabricados por Ubiquiti para cooptarlos en una malla de dispositivos que pueden modificarse para actuar como proxy, retransmitiendo tr�fico malicioso y ocultando sus direcciones IP reales.

La red de bots, seg�n el Departamento de Justicia, permit�a a los autores de la amenaza enmascarar su verdadera ubicaci�n y recopilar credenciales y hashes de NT LAN Manager (NTLM) v2 a trav�s de secuencias de comandos a medida, as� como alojar p�ginas de aterrizaje de spear-phishing y otras herramientas personalizadas para forzar contrase�as, robar contrase�as de usuario de routers y propagar el malware MooBot a otros dispositivos.

En una declaraci�n jurada redactada presentada por la Oficina Federal de Investigaci�n de Estados Unidos (FBI), la agencia dijo que MooBot explota routers Ubiquiti vulnerables y de acceso p�blico utilizando credenciales predeterminadas e implanta un malware SSH que permite el acceso remoto persistente al dispositivo.

"Los ciberdelincuentes no GRU instalaron el malware MooBot en routers Ubiquiti Edge OS que a�n utilizaban contrase�as de administrador predeterminadas conocidas p�blicamente", explic� el DoJ. "Los hackers del GRU utilizaron entonces el malware MooBot para instalar sus propios scripts y archivos a medida que reutilizaron la botnet, convirti�ndola en una plataforma global de ciberespionaje".

Se sospecha que los actores de APT28 han encontrado y accedido ilegalmente a routers Ubiquiti comprometidos realizando escaneos p�blicos de Internet utilizando un n�mero de versi�n espec�fico de OpenSSH como par�metro de b�squeda y, a continuaci�n, utilizando MooBot para acceder a esos routers.

Las campa�as de spear-phishing emprendidas por el grupo de piratas inform�ticos tambi�n han aprovechado un zero-day en Outlook (CVE-2023-23397) para desviar credenciales de inicio de sesi�n y transmitirlas a los routers.

"En otra campa�a identificada, los actores de APT28 dise�aron una p�gina de destino falsa de Yahoo! para enviar las credenciales introducidas en la p�gina falsa a un router Ubiquiti comprometido para que los actores de APT28 las recogieran a su conveniencia", dijo el FBI.

Como parte de sus esfuerzos por desarticular la botnet en EE.UU. y evitar nuevos delitos, se han emitido una serie de comandos no especificados para copiar los datos robados y los archivos maliciosos antes de borrarlos y modificar las reglas del cortafuegos para bloquear el acceso remoto de APT28 a los routers.

El n�mero exacto de dispositivos comprometidos en EE.UU. ha sido censurado, aunque el FBI se�al� que podr�a cambiar. Los dispositivos Ubiquiti infectados se han detectado en "casi todos los estados", a�adi�.

La operaci�n autorizada por los tribunales -denominada Dying Ember- se produce apenas unas semanas despu�s de que Estados Unidos desmantelara otra campa�a de pirater�a inform�tica patrocinada por el Estado y originada en China, que utilizaba una red de bots diferente, con el nombre en clave de KV-botnet, para atacar instalaciones de infraestructuras cr�ticas.

El pasado mes de mayo, Estados Unidos tambi�n anunci� el desmantelamiento de una red mundial comprometida por una cepa de malware avanzado apodada Snake y utilizada por piratas inform�ticos asociados al Servicio Federal de Seguridad de Rusia (FSB), tambi�n conocida como Turla.

Fuente: thehackernews