US-Behörden warnen vor Botnet-Attacken auf Ubiquiti EdgeRouter
Ein gemeinsames Ratschreiben von Cybersicherheits- und Geheimdienstagenturen aus den USA und anderen Ländern fordert die Nutzer von Ubiquiti EdgeRouter auf, Schutzmaßnahmen zu ergreifen, nachdem vor einigen Wochen ein Botnet, das aus infizierten Routern bestand, von Strafverfolgungsbehörden im Rahmen einer Operation namens Dying Ember außer Kraft gesetzt wurde.
Das Botnet mit dem Namen MooBot soll von einer mit Russland verbundenen Bedrohungsgruppe namens APT28 genutzt worden sein, um verdeckte Cyberoperationen zu ermöglichen und kundenspezifische Malware für nachfolgende Angriffe abzulegen. APT28, die mit dem Hauptnachrichtendirektorat Russlands (GRU) verbunden ist, ist seit mindestens 2007 aktiv.
Die Angreifer haben laut den Behörden EdgeRouter seit 2022 genutzt, um Zugangsdaten zu sammeln, NTLMv2-Digests zu erfassen, Netzwerkverkehr zu proxyieren und gezielte Phishing-Landingpages und benutzerdefinierte Tools zu hosten.
Die Angriffe von MooBot zielen darauf ab, Router mit Standard- oder schwachen Zugangsdaten anzugreifen, um OpenSSH-Trojaner bereitzustellen. APT28 nutzte diesen Zugang, um Bash-Skripte und andere ELF-Binärdateien zu sammeln, um Zugangsdaten zu sammeln, Netzwerkverkehr zu proxyieren, Phishing-Seiten zu hosten und Werkzeuge einzusetzen.
Zu den Empfehlungen für betroffene Organisationen gehören ein Hardware-Werksreset der Router, das Upgraden auf die neueste Firmware-Version, das Ändern der Standardanmeldeinformationen und das Implementieren von Firewall-Regeln, um die Offenlegung von Remote-Management-Diensten zu verhindern.
Diese Enthüllungen zeigen, dass staatliche Hacker zunehmend Router als Ausgangspunkt für Angriffe nutzen, um Botnets wie VPNFilter, Cyclops Blink und KV-botnet zu erstellen und ihre bösartigen Aktivitäten durchzuführen.
Das Ratschreiben kommt einen Tag nachdem die Five Eyes-Nationen APT29 – die mit Russlands Auslandsgeheimdienst (SVR) verbundene Bedrohungsgruppe, die hinter den Angriffen auf SolarWinds, Microsoft und HPE steht – dafür kritisierten, Servicekonten und inaktive Konten zu nutzen, um auf Cloud-Umgebungen bei Zielorganisationen zuzugreifen.