Strafverfolger zerschlagen russisches Spionagenetz aus Routern; setzt eure Ubiquiti Router zurück

Sicherheit (Pexels, allgemeine Nutzung)[English]Noch ein kleiner Nachtrag vom Wochenende. Internationale Strafverfolger (FBI, BKA etc.) haben ein mutmaßlich russisches Spionagenetzwerk zerschlagen, welches Router des Herstellers Ubiquiti befallen hat. Das Spionagenetzwerk wurde nun zwar abgeschaltet. Aber Nutzer von Ubiquiti-Routern sollten nun reagieren und die Geräte erstens mit einem eigenen Passwort versehen und zudem auf den aktuellen Firmwarestand bringen.


Anzeige

Die Meldung über die Zerschlagung eines Spionagenetzwerks wurde bereits vorige Woche Donnerstag, den 15. Februar 2024, veröffentlicht. Im Beitrag Justice Department Conducts Court-Authorized Disruption of Botnet Controlled by the Russian Federation's Main Intelligence Directorate of the General Staff (GRU) teilt das US-Justizministerium mit, dass ein US-Gericht im Januar 2024 die Genehmigung zur Zerschlagung des Spionagenetzwerks erteilt habe.

SOHO-Router von Ubiquiti befallen

Das Spionagenetzwerk bestand aus Hunderten von SOHO-Routern (Small Office/Home Office), und wurde von der GRU-Militäreinheit 26165, auch bekannt als APT 28, Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear und Sednit, genutzt, um eine Vielzahl von Straftaten zu verschleiern und zu ermöglichen.

Zu diesen Straftaten gehörten ausgedehnte Spearphishing- und ähnliche Kampagnen zum Sammeln von Zugangsdaten gegen Ziele, die für die russische Regierung von nachrichtendienstlichem Interesse sind, wie US-amerikanische und ausländische Regierungen sowie Militär-, Sicherheits- und Unternehmensorganisationen. Die Aktivitäten der Einheit 26165 führte in den letzten Monaten zu einer Beratung des privaten Sektors im Hinblick auf die Cybersicherheit und zu einer Warnung der ukrainischen Regierung.

Moobot-Malware-Netz übernommen

Dieses Botnetz unterscheidet sich von früheren Malware-Netzwerken des GRU und des russischen Föderalen Sicherheitsdienstes (FSB), dadurch, dass der GRU es nicht von Grund auf neu erstellt hat. Stattdessen stützte sich die GRU auf die "Moobot"-Malware, die mit einer bekannten kriminellen Gruppe in Verbindung gebracht wird. Cyberkriminelle, die nicht der GRU angehören, installierten die Moobot-Malware auf Ubiquiti Edge OS-Routern, die noch öffentlich bekannte Standard-Administratorpasswörter verwendeten. Die GRU-Hacker nutzten dann die Moobot-Malware, um ihre eigenen maßgeschneiderten Skripte und Dateien zu installieren, die das Botnetz umfunktionierten und in eine globale Cyberspionageplattform verwandelten.´


Anzeige

Gericht genehmigte Zerschlagung

Die vom Gericht autorisierte Operation des Ministeriums nutzte die Moobot-Malware, um gestohlene und bösartige Daten und Dateien von den kompromittierten Routern zu kopieren und zu löschen. Um den Zugriff der GRU auf die Router zu neutralisieren, bis die Opfer die Kompromittierung entschärfen und die volle Kontrolle wiedererlangen können, wurden die Firewall-Regeln der Router reversibel geändert.

Dadurch wurde der Fernverwaltungszugriff auf die Geräte blockiert. Weiterhin wurde im Verlauf der Operation die vorübergehende Sammlung von Routing-Informationen ohne Inhalt aktiviert, um die Versuche der GRU, die Operation zu vereiteln, aufzudecken würden. Vor der Operation wurde die Übernahme der betreffenden Ubiquiti Edge OS Router ausgiebig getestet. Abgesehen von der Blockade des Remotezugriffs der GRU auf die Router hatte der Vorgang keine Auswirkungen auf die normale Funktionalität der Router oder das Sammeln legitimer Benutzerdaten.

Nutzer müssen reagieren

Nun liegt es an den Nutzern, auf die Entfernung infizierter Router vom Moobot-Netzwerk zu reagieren. Die Benutzer können die Änderungen der Firewall-Regeln rückgängig machen, indem sie ihre Router auf die Werkseinstellungen zurücksetzen oder über ihr lokales Netzwerk auf ihre Router zugreifen (z. B. über die webbasierte Benutzeroberfläche der Router).

Ein Zurücksetzen des Routers auf die Werkseinstellungen ohne gleichzeitige Änderung des Standard-Administrator-Passworts führt jedoch dazu, dass der Router wieder mit den Standard-Administrator-Anmeldeinformationen betrieben wird, wodurch er für eine erneute Infektion oder ähnliche Angriffe anfällig wird. Um sich zu schützen, rät das FBI allen Opfern, die folgenden Schritte zur Abhilfe durchzuführen:

  • Führen Sie einen Hardware-Werksreset durch, um das Dateisystem von bösartigen Dateien zu säubern;
  • Aktualisieren Sie die Geräte auf die neueste Firmware-Version;
  • Ändern Sie alle Standard-Benutzernamen und -Kennwörter

Weiterhin empfiehlt das FBI den Opfern, strategischer Firewall-Regeln zu implementieren, um die unerwünschte Offenlegung von Remote-Management-Diensten zu verhindern. Der letzte Schritt wird aber nur für erfahrenere Nutzer möglich sein. Das FBI rät Router-Besitzern dringend, ihre Geräte nicht mit dem Internet zu verbinden, solange die Standardkennwörter nicht geändert wurden.

Danke an den Blog-Lesern, der mich zum Sonntag per Mail kontaktierte und meinte "Hallo Herr Born, die Ubiquiti Router sind ja auch in Deutschland beliebt. […] Vielleicht hilft es, dem einen oder anderen Leser Ihres Blogs vorzuschlagen, wenn er das Standardpasswort belassen hat, den Router zurückzusetzen und endlich ein sicheres PW einzurichten."

Ergänzung: Gemäß diesem Bleeping Computer-Artikel vom 27. Februar 2024 haben das FBI in einer gemeinsamen Mitteilung mit der NSA, dem U.S. Cyber Command und internationalen Partnern davor gewarnt, dass russische Militärhacker kompromittierte Ubiquiti EdgeRouter für ihre Zwecke verwenden.


Anzeige

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

12 Antworten zu Strafverfolger zerschlagen russisches Spionagenetz aus Routern; setzt eure Ubiquiti Router zurück

  1. 1ST1 sagt:

    Außerdem wurde vom FBI, Europol und NCA ein großer Teil der Lockbit-Infrastruktur zerlegt, wie auf spiegel.de zu lesen ist.

  2. Heinsolo sagt:

    Nur, um das richtig einzuordnen: Handelt es sich hier um UniFi-Geräte?

  3. Felix sagt:

    Die Geräte sind durch die default PW übernommen worden, entweder wurde die gui auch über wan freigegeben oder aber per cross schwachstelle im lan. Aber soweit ich weiß muss man das mehrmals wegklicken , das es weiterhin mit ubnt:ubnt usw sich eingeloggt werden kann. das wäre schon fatal, default pw und gui über wan.

  4. DeeKay sagt:

    Joar. Und was mach ich? Der von Anfang an nicht mehr das Standard Passwort verwendet? Bin ich nun Safe oder war das FBI schon bei mir drauf? ;D

    • Chris sagt:

      Wenn Herr Born nicht Details weggelassen hat, dann steht im Artikel :
      "Cyberkriminelle, die nicht der GRU angehören, installierten die Moobot-Malware auf Ubiquiti Edge OS-Routern, die noch öffentlich bekannte Standard-Administratorpasswörter verwendeten."

      Betroffen sind nach meiner Auffassung nur Nutzer, die die Standard Passwörter verwenden.
      Wie die Sache aussieht, wenn die Malware zu irgendeinem Zeitpunkt den Router übernommen hat und der Nutzer erst danach das Standard Passwort geändert hat, weiß ich jetzt nicht.
      In Anbetracht möglicher Hintertüren, würde ich den Router für genauso kompromitiert halten. Also auch hier Werksreset und vor Online Stellen das Passwort wechseln.

      • Luzifer sagt:

        wenn du es da ganz genau nimmst kannst du den Router wegschmeißen… wenn Hintertürchen wer garantiert dir keine Firmware Manipulation?

        Hardware welche als kompromitiert angesehen werden muss ist Elektroschrott!
        Es gibt da draußen ungemein fiese Sachen.

      • R.S. sagt:

        Vor dem Online stellen auch die aktuellste FW aufspielen!

        • Luzifer sagt:

          Nützt dir je nach Malware auch nix! Ein Biosbaustein besteht simpel ausgedrückt aus Zwei Teilen nen festen Teil der spezielle Routinen enthält und bei nem Flash nicht verändert wird und den "Firmware Teil" in dem die Firmware geschrieben wird. Ist nun ersteres manipuliert worden kannst du neue Firmware einspielen wie du lustig bist sind dann trotzdem kompromitiert.

          Früher waren die Bausteine gesockelt da konnte man die dann wechseln heute sind die meist fest verlötet das ist nix mehr mit Bausteinwechsel.
          (Geht zwar auch mit auslöten neuen einlöten, ist aber finanziel nen Totalschaden wenn du nicht selbst dazu in der Lage bist.)

          Nen "Normalo" bekommt vielleicht noch hin die Firmware zu flashen, aber nicht den fixen Teil zu ändern.

          • Anonymous sagt:

            Am besten waren die Damals [TM], als die noch gar nicht geflashed werden konnten und mit UV Licht gelöscht werden mussten ;)

            • R.S. sagt:

              Das sind Eproms.
              Ist bei denen noch heute so.
              Dann gibt es EEProms, lassen sich ohne UV-Licht löschen und überschreiben, sind quasi der Vorgänger von Flash.
              Die Schreibgeschwindigkeit ist allerdings sehr langsam im Vergleich zu Flash.
              Seit langer Zeit findet sich in der EDV für die Speicherung von Firmware etc. nur noch Flash.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.