Router Roulette: routers robados por espías y ciberdelincuentes

¿Qué pueden tener en común los ciberdelincuentes y los ciberespías respaldados por el Estado? Sin duda una necesidad vital de discreción. Para lograrlo, ambos grupos comprendieron rápidamente los beneficios de los enrutadores de Internet, como explica Trend Micro en una última investigación. Mientras que los grupos APT como Sandworm utilizan sus propias botnets proxy dedicadas, Pawn Storm (también conocido como APT28 y Forest Blizzard), por ejemplo, utiliza una botnet formada por enrutadores Ubiquiti EdgeRouter.

La botnet EdgeRouter utilizada por Pawn Storm (obstaculizada por el FBI y otras fuerzas policiales y judiciales en enero pasado) se remonta a 2016 y también integra otros enrutadores y servidores privados virtuales (VPS). "Después de la interrupción, el operador de la botnet transfirió con éxito los bots a una infraestructura de comando y control (C&C) recientemente establecida", informó Trend Micro. En abril de 2022, esta ciberbanda logró acceder a los sistemas inscritos en esta botnet que utilizaba para sus propios fines de persistentes campañas de espionaje. Trend Micro afirma haber observado que cientos de enrutadores Ubiquiti EdgeRouter se han utilizado para usos maliciosos muy eclécticos. Incluyendo: ataques SSH de fuerza bruta, ataques de retransmisión de hash NTLMv2, minería de criptomonedas, phishing, etc.

Una botnet de sistemas zombies imperturbables

Lamentablemente, la modificación (limitada) de los parámetros de los enrutadores Ubiquiti EdgeRouter tras la acción del FBI no pudo cambiar significativamente la situación: "aunque estas modificaciones son reversibles, están sujetas a restricciones legales y desafíos técnicos. Es probable que debido a estas limitaciones algunos Los bots no se pudieron limpiar”, dice Trend Micro. Resultado: Pawn Storm logró transferir algunos de los bots EdgeRouter del servidor C&C desmantelado el 26 de enero de 2024 a una infraestructura C&C recién establecida a principios de febrero de 2024. Los enrutadores Ubiquiti son no son los únicos que componen esta botnet porque se han identificado Raspberry Pi y otros terminales conectados a Internet. “Encontramos más de 350 direcciones IP de VPS de centros de datos que todavía estaban comprometidas, incluso después de la interrupción del FBI”, advirtió incluso Trend Micro. De hecho, cualquier enrutador de Internet basado en Linux podría verse afectado, especialmente aquellos que vienen con credenciales predeterminadas”.

Un gran número de bots también tienen un servidor SOCKS5 abierto, como leemos en la investigación. El puerto en el que opera generalmente se envía a un servidor C&C de la botnet que puede haber sido interrumpido por las acciones de las fuerzas policiales y judiciales, lo que provocó la reacción de los ciberdelincuentes. Cómo ? En algunos casos, el actor malicioso utiliza, por ejemplo, una versión personalizada de MicroSocks cuyas interfaces y puerto TCP56981 están predefinidos. El binario de MicroSocks generalmente se ubica en el directorio /root/.tmp/local con cierto éxito: a fines de febrero de 2024, los autores maliciosos agregaron autenticación de nombre de usuario y contraseña a MicroSocks, lo recompilaron y luego lo volvieron a cargar en los bots.

El malware Ngioweb también al acecho

Sin haber sido mencionado explícitamente por el FBI, Pawn Storm pudo haber utilizado SSHDoor (una versión comprometida de puerta trasera de un servidor SSH) para acceder a enrutadores basados ​​en EdgeOS. Según las actividades de Pawn Storm, Trend Micro encontró sistemas EdgeRouter infectados de esta manera en 80 de 177 hosts. "Pudimos encontrar varios binarios sshd con puerta trasera ejecutándose en enrutadores EdgeRouter. Algunos de ellos son versiones sin modificar del binario cargado en GitHub en 2016, mientras que otros se modificaron para aceptar una contraseña diferente. Para garantizar que puedan mantener su acceso a Los bots, los actores de amenazas también agregaron una clave pública a /root/.ssh/authorized_keys y, en ocasiones, configuraron sshd para escuchar en un puerto adicional”, advierte la firma de seguridad.

Trend Micro también encontró otra botnet de Linux con malware ejecutándose en estos EdgeRouters similares a los utilizados por Pawn Storm. Esta botnet es más discreta, tiene mejor seguridad operativa, el malware asociado se ejecuta solo en la memoria, según ha observado Trend Micro, y no quedan archivos maliciosos en el disco. Al examinar los volcados de núcleo y las conexiones C&C realizadas por los bots, descubrimos que era una versión del malware Ngioweb. "Tenemos evidencia de que los bots de esta botnet se utilizan en una botnet residencial que está disponible comercialmente para suscriptores pagos. [...] El hecho de que encontremos al menos tres actores de amenazas importantes en algunos de los EdgeRouters muestra que tienen un interés significativo en comprometer los enrutadores con acceso a Internet”.