Selon le ministère de la Justice, plus de 1 000 routeurs Ubiquiti dans des foyers et des petites entreprises ont été infectés par des logiciels malveillants utilisés par des agents soutenus par la Russie pour les coordonner dans un botnet destiné à des opérations criminelles et d’espionnage.
Ce malware, qui fonctionnait comme un botnet pour le groupe de piratage russe Fancy Bear, a été supprimé en janvier 2024 sur décision judiciaire secrète dans le cadre de « l’opération Dying Ember », selon le directeur du FBI. Cela a affecté les routeurs exécutant EdgeOS d’Ubiquiti, mais uniquement ceux qui n’avaient pas modifié leur mot de passe administratif par défaut. L’accès aux routeurs a permis au groupe de piratage informatique de « dissimuler et de permettre divers crimes », affirme le DOJ, notamment le spearphishing et la collecte d’informations d’identification aux États-Unis et à l’étranger.
Contrairement aux attaques précédentes de Fancy Bear – que le DOJ associe à l’unité militaire GRU 26165, également connue sous le nom d’APT 28, de Sofacy Group et de Sednit, entre autres noms – l’intrusion d’Ubiquiti reposait sur un malware connu, Moobot. Une fois infectés par des « cybercriminels non-GRU », les agents du GRU ont installé « des scripts et des fichiers sur mesure » pour connecter et réutiliser les appareils, selon le DOJ.
Le DOJ a également utilisé le malware Moobot pour copier et supprimer les fichiers et les données du botnet, selon le DOJ, puis a modifié les règles de pare-feu des routeurs pour bloquer l’accès à la gestion à distance. Au cours de l’intrusion sanctionnée par le tribunal, le DOJ « a permis la collecte temporaire d’informations de routage hors contenu » qui « exposeraient les tentatives du GRU de contrecarrer l’opération ». Cela n’a pas « d’impact sur la fonctionnalité normale des routeurs ni sur la collecte d’informations légitimes sur le contenu des utilisateurs », affirme le DOJ.
« Pour la deuxième fois en deux mois, nous avons empêché des pirates informatiques parrainés par l’État de lancer des cyberattaques derrière le couvert de routeurs américains compromis », a déclaré la procureure générale adjointe Lisa Monaco dans un communiqué de presse.
Le DOJ déclare qu’il informera les clients concernés pour leur demander d’effectuer une réinitialisation d’usine, d’installer le dernier micrologiciel et de modifier leur mot de passe administratif par défaut.
Christopher A. Wray, directeur du FBI, a développé l’opération Fancy Bear et les menaces internationales de piratage en général lors de la conférence sur la sécurité en cours à Munich. La Russie a récemment ciblé des câbles sous-marins et des systèmes de contrôle industriels dans le monde entier, a déclaré Wray, selon un article du New York Times. Et depuis son invasion de l’Ukraine, la Russie s’est concentrée sur le secteur énergétique américain, a déclaré Wray.
L’année dernière a été une période active pour les attaques contre les routeurs et autres infrastructures réseau. Des routeurs TP-Link ont été découverts infectés en mai 2023 par des logiciels malveillants provenant d’un groupe apparemment soutenu par la Chine. En septembre, un micrologiciel modifié dans les routeurs Cisco a été découvert dans le cadre d’une intrusion soutenue par la Chine dans des sociétés multinationales, selon les autorités américaines et japonaises. Un logiciel malveillant déclaré par le DOJ comme étant lié au gouvernement chinois a été supprimé des routeurs SOHO par le FBI le mois dernier, de la même manière que l’opération la plus récemment révélée, ciblant les appareils Cisco et Netgear qui avaient pour la plupart atteint leur fin de vie et ne recevaient plus. correctifs de sécurité.
Dans chaque cas, les routeurs ont fourni un service très précieux aux groupes ; ce service était secondaire par rapport aux objectifs principaux des attaques ultérieures. En s’imbricant à l’intérieur des routeurs, les pirates pourraient envoyer des commandes depuis leurs sites à l’étranger, mais donner l’impression que le trafic provient d’un endroit beaucoup plus sûr à l’intérieur du pays cible ou même à l’intérieur d’une entreprise.
Un accès interne similaire a été recherché par des attaquants internationaux via des produits VPN, comme dans le cas des trois vulnérabilités Ivanti récemment découvertes.