.
Autoridades de onze países entregaram uma sequência à derrubada de janeiro de uma botnet administrada pela Rússia em roteadores Ubiquiti Edge OS comprometidos – na forma de um aviso de que a Rússia pode tentar novamente, portanto, os proprietários dos dispositivos devem tomar precauções.
Revelada em fevereiro, a derrubada foi liderada pelas autoridades dos EUA e, na época, teria “desativado” uma campanha organizada pela unidade de inteligência militar russa GRU. A equipe quebrou os roteadores SOHO e os infectou com um malware chamado Moobot – uma variante do infame malware Mirai.
O Moobot permitiu que o GRU e seus subordinados instalassem e executassem scripts para construir uma botnet com 1.000 recursos, que foi usada para phishing poderoso, espionagem, coleta de credenciais e roubo de dados.
Dado o tom triunfante do anúncio de remoção, os usuários da Ubiquiti podem ter sentido que não corriam mais risco.
Mas na terça-feira o FBI emitiu um comunicado conjunto [PDF] em nome dos EUA, Bélgica, Brasil, França, Alemanha, Letónia, Lituânia, Noruega, Polónia, Coreia do Sul e Reino Unido. O documento incentiva os proprietários da Ubiquiti a obterem patches.
“Os proprietários de dispositivos relevantes devem tomar as medidas corretivas descritas abaixo para garantir o sucesso a longo prazo do esforço de interrupção e para identificar e remediar quaisquer compromissos semelhantes”, adverte o documento.
Essas ações são:
- Execute uma redefinição de fábrica do hardware;
- Atualize para a versão de firmware mais recente;
- Altere quaisquer nomes de usuário e senhas padrão;
- Implemente regras estratégicas de firewall em interfaces do lado WAN.
O comunicado também oferece mais detalhes sobre como o GRU – especificamente o 85º Centro Principal de Serviços Especiais (GTsSS), também conhecido como APT28, Fancy Bear e Forest Blizzard (Strôntium) – realizou seus atos sujos.
No momento da remoção, as autoridades dos EUA observaram que esta botnet diferia dos esforços anteriores do GRU porque usava malware disponível no mercado. O comunicado revela que o APT28 também escreveu seu próprio pacote para este assalto.
Chamado MASEPIE, o malware foi dirigido pelo botnet baseado em Ubiquiti e é descrito como “um pequeno backdoor Python capaz de executar comandos arbitrários nas máquinas das vítimas”.
“Os dados enviados de e para os EdgeRouters foram criptografados usando uma chave AES de 16 caracteres gerada aleatoriamente”, explica o comunicado.
Os lacaios de Moscou também usaram chaves SSH RSA controladas pelo adversário para estabelecer túneis SSH reversos e acessar dispositivos comprometidos.
O documento detalha indicadores de comprometimento – oferecendo históricos de bash para ajudar os administradores de rede a entender o ataque e detectar downloads maliciosos usados pelos mestres do botnet.
Tudo isso é adorável – supondo que os proprietários de dispositivos Ubiquiti saibam como acessar os históricos do bash. A maioria não o fará. Eles também não se sentirão confortáveis em realizar atualizações de firmware.
E aquelas regras de firewall estratégicas recomendadas em interfaces do lado da WAN? O documento não os explica de forma alguma. Se você ainda não sabe como fazer isso, o FBI não oferece ajuda.
É por isso que não podemos ter coisas boas. ®
.
