Il Federal Bureau of Investigation, in sinergia con la National Security Agency e il Cyber Command degli Stati Uniti, ha diffuso un avviso sull’uso malevolo dei router di Ubiquiti.
Un vettore di attacco scevro da qualsiasi sospetto. Ragione per cui l’Fbi comunica, con un avviso, l’elevato rischio legato all’uso malevolo di dispositivi Ubiquiti “EdgeRouter” da parte della famigerata Unità 26165 – che agisce per conto del Gru, l’intelligence militare russa – nota anche come Fancy Bear o Apt28. Il Federal Bureau of Investigation, in collaborazione con la National Security Agency e il Cyber Command degli Stati Uniti e altri partner internazionali, suggerisce una serie di azioni concrete da compiere. Ma procediamo con ordine.
Vettori di attacco impensabili
Utilizzati per le loro prestazioni affidabili, i router EdgeRouter di Ubiquiti – azienda californiana fondata nel 2005 e specializzata nella produzione di dispositivi wireless – sono divenuti un obiettivo favorito, nonché impensabile, per gli attacchi. In particolare, i cybercriminali russi hanno compromesso questi dispostivi per portare avanti operazioni di spionaggio informatico su vasta scala.
Facendo leva sulla configurazione di default, il collettivo è riuscito a costruire botnet complesse, le reti di computer infetti controllati da un attaccante (“botmaster”) che si formano nel momento in cui un dispositivo viene infettato da malware, di frequente e-mail di phishing o download dannosi. Una volta infettati, i computer diventano dei bot controllabili a distanza e collegati a server di comando e controllo. Tali reti di dispositivi compromessi vengono sfruttate, in particolare, per attività malevole come il furto di credenziali. Per fare un esempio, in agosto l’Fbi ha smantellato la botnet Qakbot.
Azioni per mitigare i rischi
Per combattere questa minaccia, il Federal Bureau of Investigation consiglia una serie di azioni concrete per chi utilizza i dispositivi in questione: dal reset di fabbrica (in grado di cancellare qualsivoglia traccia di software malevolo presente nel sistema) all’aggiornamento dei firmware del dispositivo. E ancora, dall’inserimento di credenziali di accesso sicure (password complesse e uniche) all’implementazione di regole firewall strategiche, con l’obiettivo di circoscrivere l’esposizione a servizi di gestione remota potenzialmente nocivi.
Indicazioni utili e tangibili da mettere in campo, poiché la scoperta di strumenti e artefatti ad hoc di Fancy Bear all’interno dei dispositivi EdgeRouter compromessi attesta la solidità e la pericolosità del collettivo russo.