Роутеры Ubiquiti стали инструментом шпионажа против ЕС и США

Федеральные агентства США и других стран призывают пользователей обратить внимание на риски использования маршрутизаторов Ubiquiti EdgeRouter. Заявление ведомств следует за разгромом ботнета MooBot, состоящего из зараженных роутеров.

Ботнет MooBot, по данным ведомств, использовался группировкой APT28 для проведения тайных киберопераций и распространения специализированного вредоносного ПО. Активность APT28 отмечается с 2007 года.

APT28 применяла взломанные роутеры EdgeRouter по всему миру для сбора учетных данных, перенаправления трафика и создания фишинговых страниц. Атаки, начатые в 2022 году, затронули множество секторов критической инфраструктуры в ряде стран, включая Чехию, Италию и США.

В числе методов MooBot – взломы роутеров с легкими паролями для установки троянских программ на основе OpenSSH. Получив доступ, APT28 использовала bash-скрипты и ELF-бинарные файлы для кражи данных и проведения фишинга. Также группировка эксплуатировала критическую уязвимость Microsoft Outlook CVE-2023-23397 (рейтинг CVSS: 9.8), позволяющую красть NTLM-хэши и осуществлять атаки без взаимодействия с пользователем.

В арсенале APT28 обнаружен MASEPIE – Python-бэкдор, позволяющий выполнять команды на компьютерах жертв, используя зараженные роутеры Ubiquiti в качестве инфраструктуры управления и контроля (Command and Control, C2).

Рекомендации агентств для организаций включают сброс настроек маршрутизаторов до заводских, обновление прошивки, смену паролей и установку брандмауэра для ограничения удаленного доступа.

Напомним, что в июле 2023 года ИБ-компания SSD Secure Disclosure предупредила о возможности выполнения произвольного кода на устройствах Ubiquiti EdgeRouter и AirCube с помощью уязвимости в прошивке, которая была исправлена в последних обновлениях, однако ей всё ещё подвержены устройства с неактуальной версией ПО.

В феврале 2024 года власти США разрушили ботнет MooBot, который работал для проведения шпионажа и кибератак на американские и международные цели. Операция правоохранительных органов проводилась в январе и включала в себя очистку от вредоносного ПО «более чем тысячи» домашних и офисных роутеров.