El FBI advirtió esta semana que piratas informáticos respaldados por el Estado ruso están utilizando enrutadores «comprometidos» para infiltrarse en las computadoras de las personas.
Según el FBI, los enrutadores de particulares y empresas se utilizaron en secreto para perpetrar delitos cibernéticos, con el objetivo de acceder a las redes del gobierno de Estados Unidos.
En una declaración conjunta con la Agencia de Seguridad Nacional (NSA), el Comando Cibernético de EE. UU. y los servicios de inteligencia de otras 10 naciones, el FBI instó a cualquiera que utilice los enrutadores afectados a tomar ciertas precauciones para evitar que le roben sus datos.
Los enrutadores en cuestión son Ubiquiti EdgeRouters y las precauciones, que se describen a continuación en este artículo, incluyen restablecer contraseñas y realizar un restablecimiento de hardware de fábrica.
Debido a que estos enrutadores vienen de fábrica con configuraciones de seguridad laxas, son particularmente vulnerables a los ataques cibernéticos, dijo el FBI en su anuncio.
Los piratas informáticos pueden crear la llamada ‘botnet’
Y debido a su precio asequible (59 dólares para el modelo más barato de la compañía), son comunes para uso doméstico y de oficina.
«Los Ubiquiti EdgeRouters tienen un sistema operativo fácil de usar basado en Linux que los hace populares tanto para los consumidores como para los ciberataques maliciosos», escribió el FBI en el informe conjunto. declaración.
‘Los EdgeRouters a menudo se envían con credenciales predeterminadas y protecciones de firewall limitadas o nulas para adaptarse a los proveedores de servicios de Internet inalámbricos (WISP).
Además, los EdgeRouters no actualizan el firmware automáticamente a menos que un consumidor los configure para hacerlo.’
Estos enrutadores habían sido incluidos encubiertamente en una botnet, convirtiendo a las computadoras de personas y empresas en cómplices involuntarios de delitos cibernéticos relacionados con el phishing.
Estos ataques dirigidos tienen como objetivo robar credenciales de inicio de sesión, a menudo de empleados gubernamentales, como forma de obtener acceso a redes seguras.
En un ataque de phishing, el objetivo es una persona específica.
Es posible que la víctima reciba un correo electrónico aparentemente legítimo desde un sitio web de uso común. Los correos electrónicos de Spearphishing pueden pedirles que actualicen su contraseña en Amazon o cambien su método de pago para Netflix, por ejemplo.
Pero cuando hacen clic en el enlace, son enviados a un sitio web falso, que parece real.
Cuando el objetivo ingresa su nombre de usuario y contraseña, es posible que sea redirigido al sitio web real.
Pero su información personal ahora es propiedad de los piratas informáticos.
El FBI y otras agencias policiales estadounidenses afirmaron que frustraron un ataque de botnet respaldado por Rusia a mediados de febrero, pero advirtieron que el grupo involucrado, conocido como APT28, entre otros nombres, todavía está muy activo.
La botnet que albergaba estos sitios de aterrizaje de phishing estaba controlada por la Dirección Principal de Inteligencia del Estado Mayor (GRU) de la Federación Rusa, según el FBI.
Una importante filtración revela cómo el Estado vigila a los disidentes en el extranjero, lanza ataques cibernéticos en otras naciones y utiliza propaganda en las redes sociales.
En respuesta a la noticia de las filtraciones, el portavoz del Ministerio de Asuntos Exteriores chino, Mao Ning, afirmó que Estados Unidos lleva mucho tiempo trabajando para comprometer la infraestructura crítica del país. Exigió que Estados Unidos «deje de utilizar las cuestiones de ciberseguridad para difamar a otros países».
Específicamente, la agencia sospechó de la Unidad Militar GRU 26165, también conocida como APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear y Sednit.
Si un EdgeRouter se ve comprometido, reiniciarlo no eliminará el malware, advirtió la agencia federal de aplicación de la ley.
Para cualquiera que posea un Ubuquiti EdgeRouter, recomendaron los siguientes pasos para garantizar que su dispositivo esté seguro:
- Realice un restablecimiento de fábrica del hardware para eliminar los archivos maliciosos de los sistemas de archivos.
- Actualice a la última versión del firmware.
- Cambie los nombres de usuario y contraseñas predeterminados.
- Implemente reglas de firewall estratégicas en las interfaces del lado WAN para evitar la exposición no deseada de los servicios de administración remota.
«Además, todos los propietarios de redes deben mantener actualizados sus sistemas operativos, software y firmware», aconsejó el FBI. «La aplicación oportuna de parches es uno de los pasos más eficientes y rentables que una organización puede tomar para minimizar su exposición a las amenazas de ciberseguridad».
A mediados de febrero, el FBI anunció que había desmantelado una botnet rusa controlada por GRU.
Utilizando una red de cientos de enrutadores, la Unidad Militar GRU 26165 había estado ocultando y lanzando una variedad de delitos cibernéticos.
«Estos crímenes incluyeron vastas campañas de phishing y campañas similares de recolección de credenciales contra objetivos de interés de inteligencia para el gobierno ruso, como gobiernos estadounidenses y extranjeros y organizaciones militares, de seguridad y corporativas», afirmó el FBI en un anuncio En el momento.
