Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

FBI Desmantela Botnet Moobot en Routers Ubiquiti

Escrito por Adriana Aguilar | Feb 19, 2024 8:00:00 PM

Recientemente, un logro significativo en la lucha contra la ciberdelincuencia ha capturado la atención de expertos y usuarios por igual: el desmantelamiento del botnet Moobot por parte del FBI. Este evento no solo demuestra la capacidad de las agencias gubernamentales para contrarrestar amenazas digitales complejas, sino que también resalta la vulnerabilidad de dispositivos comunes en nuestros hogares y oficinas.

 

El Caso Moobot: Infección de Routers Ubiquiti

 

El FBI neutralizó una red de botnet en enrutadores SOHO utilizada por el GRU de Rusia, la Dirección Principal de Inteligencia del Estado Mayor, para lanzar ataques maliciosos y de phishing contra Estados Unidos y aliados, comprometiendo credenciales.

Controlada por la Unidad Militar GRU 26165, identificada también como APT28, Fancy Bear y Sednit, esta red comprendía cientos de enrutadores Ubiquiti Edge OS infectados con el malware Moobot. Los blancos incluían gobiernos de EE. UU. y otros países, así como entidades militares y organizaciones de seguridad y corporativas.

"A diferencia de otras operaciones de malware del GRU y del FSB (Servicio Federal de Seguridad de Rusia) previamente interrumpidas, esta vez el GRU no desarrolló la botnet desde cero. En lugar de eso, se apoyaron en 'Moobot', un malware asociado con un grupo criminal conocido", explicó el Departamento de Justicia.

Inicialmente, delincuentes cibernéticos ajenos al GRU comprometieron los enrutadores Ubiquiti Edge OS con Moobot, explotando dispositivos con contraseñas predeterminadas de administrador conocidas y accesibles en línea.

Luego, los hackers del GRU utilizaron Moobot para cargar herramientas maliciosas propias, transformando la botnet en un dispositivo de ciberespionaje de alcance internacional.

El FBI encontró en los dispositivos afectados una variedad de herramientas y artefactos vinculados a APT28, desde scripts de Python para obtener credenciales de correo electrónico hasta programas diseñados para capturar hashes NTLMv2, además de reglas de enrutamiento modificadas para desviar el tráfico de phishing hacia infraestructura de ataque específica.

 

Conoce más sobre:  APT28: Hackers rusos atacan entidades clave con NTLM

 

El FBI elimina malware y restringe acceso remoto

 

En el contexto de la "Operación Dying Ember", avalada por la justicia, agentes del FBI intervinieron remotamente los enrutadores afectados, empleando el malware Moobot para suprimir información y archivos malintencionados o sustraídos.

Acto seguido, desinstalaron Moobot y cortaron el acceso remoto, evitando así posibles reinfecciones por parte de los espías cibernéticos rusos.

"Para limitar el acceso del GRU a los enrutadores hasta que los afectados puedan resolver la vulnerabilidad y recuperar el control, se ajustaron temporalmente las configuraciones de firewall para impedir el acceso administrativo remoto. Durante la operación, se permitió también la recogida puntual de metadatos de enrutamiento, sin recabar contenido, para detectar intentos del GRU de obstruir la operación", informó el Departamento de Justicia.

Esta estrategia no solo obstaculizó el acceso del GRU sino que mantuvo intacta la funcionalidad estándar de los enrutadores sin recopilar datos personales de los usuarios. Las medidas impuestas por la corte para desvincular los enrutadores de Moobot son reversibles.

Los usuarios pueden anular las modificaciones en el firewall restableciendo sus enrutadores a los ajustes de fábrica o mediante conexión local. No obstante, restablecer los dispositivos sin actualizar las contraseñas administrativas por defecto podría dejarlos vulnerables a futuras infecciones.

 

También te podrá interesar:  FBI Desmantela la Operación Ransomware BlackCat

 

Neutralización de Botnet China por el FBI

 

Moobot representa la segunda red botnet desactivada por el FBI en 2024, usada por hackers patrocinados por estados para evadir la detección, siguiendo a la desmantelación de la botnet KV, operada por el grupo de ciberespías chinos Volt Typhoon en enero.

Posteriormente, la CISA y el FBI emitieron recomendaciones a los fabricantes de enrutadores SOHO para incrementar la seguridad de estos dispositivos, sugiriendo la implementación de configuraciones predeterminadas más seguras y la eliminación de vulnerabilidades en las interfaces de administración web durante su desarrollo.

El colectivo de ciberespionaje APT28 fue implicado previamente en el ciberataque al Parlamento Federal Alemán (Deutscher Bundestag) en 2015. Además, fueron responsables de ataques dirigidos al Comité de Campaña Demócrata del Congreso (DCCC) y al Comité Nacional Demócrata (DNC) en 2016, resultando en acusaciones formales en Estados Unidos dos años más tarde.

 

Conoce más sobre:  FBI detiene botnet china al eliminar malware de routers infectados

 

Conclusión

 

El desmantelamiento del botnet Moobot por parte del FBI es un recordatorio poderoso de las amenazas que enfrentamos en el paisaje digital actual. También es un testimonio de la capacidad de respuesta y la eficacia de las agencias encargadas de hacer cumplir la ley en la protección contra estas amenazas. Sin embargo, la responsabilidad de la seguridad cibernética no recae únicamente en las autoridades; los usuarios y fabricantes de dispositivos también juegan un papel crucial. Al trabajar juntos, podemos esperar construir un entorno digital más seguro para todos.

La seguridad cibernética es una responsabilidad compartida. La desarticulación de Moobot no solo es una victoria contra un botnet en particular, sino también un paso adelante en nuestra comprensión colectiva y enfoque hacia una seguridad digital más robusta. A medida que avanzamos, la colaboración entre agencias gubernamentales, la industria tecnológica, y los usuarios será fundamental para mitigar los riesgos y proteger nuestra infraestructura digital contra las amenazas del mañana.