Das Botnetz der gekaperten Ubiquiti-Router, das von der mit Russland verbundenen APT28 zur Durchführung globaler Spionageoperationen verwendet wird, besteht laut Trend Micro aus mehr als nur Ubiquiti-Geräten.
APT28, eine Cyberspionagegruppe, die mit Russlands Hauptgeheimdienstdirektion des Generalstabs (GRU) verbunden ist – auch unter den Namen Forest Blizzard und Pawn Storm bekannt – nutzte bereits vor Jahren das Netzwerk der Ubiquiti Edge OS-Router für kleine Büros/Heimbüros (SOHO). Die USA haben es im Januar 2024 abgebaut.
Das FBI sagte damals, es habe gestohlene und bösartige Daten von den befallenen Geräten kopiert und gelöscht und die Firewall-Regeln geändert, um den Zugriff von APT28 auf die Bots effektiv zu blockieren, ohne den normalen Betrieb der Router zu beeinträchtigen.
Nun sagt Trend Micro, dass die Säuberungsaktion den Zugriff der russischen Hacker auf die infizierten Geräte nicht vollständig sperren konnte, hauptsächlich weil das Botnetz aus mehr als nur Ubiquiti-Routern bestand und weil zusätzlich darauf platzierte Malware unentdeckt blieb.
Das Botnetz wurde 2016 in Betrieb genommen, als Cyberkriminelle begannen, Ubiquiti-Router mit Malware zu infizieren, während APT28 erst im April 2022 Zugriff darauf erhielt und damit begann, es in seinen anhaltenden Cyberspionagekampagnen einzusetzen.
„Wir haben beobachtet, dass Hunderte von Ubiquiti EdgeRouter-Routern für verschiedene Zwecke verwendet wurden, wie zum Beispiel Secure Shell (SSH) Brute Forcing, Pharma-Spam, Verwendung von SMB-Reflektoren (Server Message Block) bei NTLMv2-Hash-Relay-Angriffen, Proxying gestohlener Anmeldeinformationen auf Phishing-Sites, Multi- Zweckmäßiges Proxying, Kryptowährungs-Mining und das Versenden von Spear-Phishing-E-Mails“, stellt Trend Micro fest.
Die Untersuchung des Botnetzes durch das Sicherheitsunternehmen ergab, dass einige der Bots wahrscheinlich auch nach der Abschaltung weiterhin infiziert waren, was höchstwahrscheinlich auf rechtliche Einschränkungen zurückzuführen war, die eine gründliche Säuberung aller Router verhinderten.
Darüber hinaus stellte Trend Micro fest, dass die Betreiber Anfang Februar einige Bots in eine neue Command-and-Control-Infrastruktur (C&C) verschoben hatten und dass Raspberry Pi und andere Linux-Geräte ebenfalls Teil des Botnetzes waren, darunter über 350 noch immer kompromittierte VPS-IP-Adressen von Rechenzentren nach der Störung.
„Tatsächlich könnte jeder Linux-basierte, mit dem Internet verbundene Router betroffen sein, insbesondere solche, die mit Standardanmeldeinformationen ausgeliefert wurden. Insbesondere Raspberry Pi-Geräte und VPS-Server in Rechenzentren, die einen XMRig-Mining-Pool für die Kryptowährung Monero bilden, sind Teil desselben Botnetzes“, stellt Trend Micro fest.
Zusätzlich zu APT28 wurden mindestens zwei weitere Bedrohungsakteure gefunden, die die infizierten Geräte für böswillige Zwecke missbrauchten, nämlich die berüchtigte Canadian Pharmacy-Gang sowie ein Gegner, der die im Speicher bereitgestellte Ngioweb-Malware nutzt, um Geräte in kommerzielle Proxys für Privathaushalte zu verwandeln .
Die Ubiquiti-Router wurden mit verschiedenen Skripten und bösartigen Binärdateien infiziert, darunter SSHDoor, ein SSH-Daemon mit Hintertür, der Benutzeranmeldeinformationen bei der Anmeldung sammelt und Bots dauerhaften Zugriff bietet. Höchstwahrscheinlich hat APT28 die hintertürigen SSH-Server brutal manipuliert, um die Kontrolle über die Bots zu erlangen.
Trend Micro entdeckte außerdem die Open-Source-Serversoftware SOCKS5 von MicroSocks auf zahlreichen Bots und beobachtete, wie der Bedrohungsakteur Ende Februar eine Authentifizierung hinzufügte und sie erneut auf die infizierten Geräte hochlud.
Einige der von APT28 missbrauchten Ubiquiti-Router wurden auch mit der Ngioweb-Malware infiziert, die es seit mindestens 2018 gibt und die sich nur im Speicher befindet. Diese Geräte werden im Rahmen eines privaten Proxy-Botnetzes an zahlende Abonnenten verliehen.
„Cyberkriminelle und APT-Gruppen nutzen Anonymisierungstools, um ihre böswilligen Aktivitäten mit harmlosem normalen Datenverkehr zu vermischen. Kommerzielle VPN-Dienste und kommerziell verfügbare private Proxy-Netzwerke sind beliebte Optionen für diese Art von Aktivitäten“, stellt Trend Micro fest.
*Laut MalpediaAPT28 ist auch bekannt als APT-C-20, ATK5, Blue Athena, Fancy Bear, FrozenLake, Fighting Ursa, Forest Blizzard, G0007, Grey-Cloud, Grizzly Steppe, Group 74, Group-4127, Iron Twilight, Pawn Storm, SIG40, SnakeMackerel, Strontium, Sednit, Sofacy, Swallowtail, T-APT-12, TA422, TG-4127, Tsar Team, TsarTeam und UAC-0028.
Verwandt: Das FBI zerlegt das von russischen Cyberspionen kontrollierte Ubiquiti-Router-Botnet
Verwandt: Forscher entdecken 40.000 EOL-Router und IoT-Botnet
Verwandt: US-Regierung stört SOHO-Router-Botnetz, das vom chinesischen APT Volt Typhoon genutzt wird
