O que acabou de acontecer? Deve ser frustrante para o FBI que consumidores e pequenas empresas não protejam seus roteadores. Pelo que sabemos, duas vezes este ano, a agência derrubou botnets em roteadores desprotegidos controlados por governos estaduais estrangeiros. Este último incidente envolveu a Rússia.
Uma operação do FBI autorizada pelo tribunal derrubado uma rede de centenas de roteadores Ubiquiti Edge OS em todo o mundo infectados por um malware conhecido chamado Mooboot. O malware funcionava como uma botnet e era controlado por agentes apoiados pelo Estado com a ajuda de um grupo de hackers russo conhecido por vários nomes, incluindo Fancy Bear e APT 28. Os alvos eram de interesse de inteligência do governo russo e foram alvo de spearphishing. e campanhas semelhantes de coleta de credenciais.
O malware infectou apenas roteadores Ubiquiti Edge OS usando senhas de administrador padrão conhecidas publicamente. Os hackers então usaram o malware para instalar “scripts personalizados” e arquivos que redirecionaram a botnet, transformando-a em uma plataforma global de espionagem cibernética.
O FBI usou o malware dos próprios hackers contra eles para copiar e excluir dados e arquivos roubados e maliciosos de roteadores comprometidos. Em seguida, modificou as regras de firewall dos roteadores para bloquear o acesso de gerenciamento remoto aos dispositivos. Também permitiu a recolha temporária de informações de encaminhamento sem conteúdo como parte da recolha de provas.
O FBI afirma que a operação não afetou a funcionalidade dos roteadores, nem coletou conteúdo legítimo do usuário. Os proprietários de roteadores podem reverter as alterações nas regras de firewall realizando uma redefinição de fábrica ou acessando o roteador por meio de sua rede local. Após a redefinição, a agência recomenda fortemente que os usuários alterem a senha padrão do administrador. Caso contrário, o roteador ficará aberto a outro ataque.
“Este é mais um caso de a inteligência militar russa usar dispositivos e tecnologias comuns para os objetivos maliciosos daquele governo”, disse a procuradora dos EUA, Jacqueline C. Romero, para o Distrito Leste da Pensilvânia. “Enquanto os nossos adversários, os Estados-nação, continuarem a ameaçar a segurança nacional dos EUA desta forma, nós e os nossos parceiros utilizaremos todas as ferramentas disponíveis para desmantelar os seus cibercriminosos – quem quer que sejam e onde quer que estejam.”
Esta remoção segue a do mês passado perturbação pelo FBI de centenas de roteadores Cisco e NetGear deixados vulneráveis porque haviam atingido o status de fim de vida e não estavam mais recebendo atualizações de segurança. Patrocinado pelo Estado, um grupo de hackers chinês chamado Volt Typhoon usou o malware KV Botnet nesse ataque. Os malfeitores usaram roteadores de propriedade privada para atingir organizações de infraestrutura crítica nos EUA. O FBI incentivou fortemente os proprietários de roteadores a remover e substituir quaisquer roteadores em fim de vida útil em suas redes.