Un Aviso de Ciberseguridad (CSA) conjunto emitido por la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad Nacional (NSA), el Comando Cibernético de EE. UU. y socios internacionales ha generado alarmas sobre la explotación de los Ubiquiti EdgeRouters comprometidos por parte de ciberactores patrocinados por el estado ruso.
Identificados como la Dirección Principal de Inteligencia del Estado Mayor Ruso (GRU), el 85.º Centro Principal de Servicios Especiales (GTsSS), estos actores, también conocidos como APT28, Fancy Bear y Forest Blizzard (Strontium), han utilizado EdgeRouters comprometidos para recolectar credenciales y tráfico de red proxy. y alojar páginas de inicio de phishing y herramientas personalizadas.
“Hay varias razones por las que los EdgeRouters son particularmente vulnerables a verse comprometidos”, explicó Patrick Tiquet, vicepresidente de seguridad y arquitectura de Keeper Security. “Los EdgeRouters se envían con configuraciones de inicio de sesión predeterminadas vulnerables; carecen de una configuración de firewall sólida y dependen de actualizaciones manuales de firmware”.
En un aviso publicado el martes, las agencias enfatizaron la urgencia de que los propietarios de los dispositivos afectados tomen medidas correctivas para frustrar estas actividades maliciosas de manera efectiva. A pesar de la reciente interrupción de una botnet GRU por parte del Departamento de Justicia de EE. UU. y sus socios internacionales, la CSA enfatizó la necesidad de implementar las mitigaciones recomendadas para protegerse contra compromisos futuros e identificar los existentes.
Los Ubiquiti EdgeRouters, conocidos por su sistema operativo basado en Linux fácil de usar, son vulnerables debido a sus credenciales predeterminadas y protecciones de firewall limitadas, lo que los convierte en objetivos atractivos para los ciberataques.
“Otro problema es que el EdgeRouter en sí proporciona una posición perfecta dentro de la red para que los actores de amenazas se muevan lateralmente o habiliten funciones de comando y control más avanzadas para lograr sus objetivos”, comentó John Gallagher, vicepresidente de Viakoo Labs en Viakoo. .
“El descubrimiento basado en aplicaciones que encuentra aplicaciones y dispositivos de IoT puede ser una herramienta útil para determinar si el enrutador de IoT se está comunicando con aplicaciones no autorizadas”.
Debido a estos peligros, la CSA instó a la aplicación inmediata de estrategias de mitigación descritas en el consultivo para mitigar los riesgos asociados con la actividad del APT28.
De manera más general, el documento subraya el amplio impacto de las actividades de APT28, dirigidas a industrias que van desde la aeroespacial y la defensa hasta la tecnología en varios países, incluidos Estados Unidos y Ucrania. Al explotar vulnerabilidades como CVE-2023-23397 para recopilar resúmenes NTLMv2 de cuentas de Outlook específicas, estos actores han persistido en sus esfuerzos maliciosos a pesar de los lanzamientos de parches por parte de organizaciones como Microsoft.
Lea más sobre estos ataques: APT28 ruso aprovecha un error de Outlook para acceder a Exchange
Para combatir estas amenazas de forma eficaz, se recomienda a los propietarios de redes que realicen restablecimientos de fábrica del hardware, actualicen el firmware, cambien las credenciales predeterminadas e implementen reglas de firewall sólidas. Además, parchear y deshabilitar oportunamente protocolos vulnerables como NTLM son pasos cruciales para mitigar los riesgos que plantean dichas amenazas cibernéticas.
El FBI también busca la colaboración de organizaciones e individuos para informar cualquier actividad sospechosa o criminal relacionada con las operaciones de APT28 en EdgeRouters comprometidos.
Crédito de la imagen: rafapress/Shutterstock.com
