Autoridades de los Estados Unidos anunciaron acciones para neutralizar una red de routers pequeños de oficina y hogar que habrían sido comprometidos por actores cibernéticos maliciosos rusos conocidos como APT28. En paralelo, el Reino Unido denunció al grupo por explotar los enrutadores para secuestrar el DNS y realizar ataques de intermediario, robar contraseñas y apropiarse de tokens de autenticación.
Este martes dos acciones en paralelo dejaron expuesta una sofisticada campaña de ciberespionaje atribuida al grupo ruso APT28, el que durante meses habría explotado vulnerabilidades en routers para robar credenciales de acceso y espiar a organizaciones en todo el mundo.
Por una parte, el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) expuso en un reporte el accionar de esta unidad vinculada a la inteligencia militar rusa, acusándola -con casi toda seguridad- de comprometer routers domésticos y de pequeñas oficinas (SOHO, por sus siglas en inglés) para realizar actividades de vigilancia y acceso encubierto a redes. Según la denuncia, estos dispositivos eran utilizados como puntos estratégicos para lanzar ataques sin levantar sospechas, aprovechando su baja protección y escasa supervisión.
“El grupo cibernético ruso APT28 ha estado explotando enrutadores para sobrescribir la configuración del Protocolo de configuración dinámica de host (DHCP)/Sistema de nombres de dominio (DNS) y redirigir el tráfico a través de servidores DNS controlados por el atacante”, advirtieron las autoridades británicas. Y agregaron que los DNS maliciosos resultantes “permiten ataques de intermediario (AitM) que roban contraseñas, tokens OAuth y otras credenciales para servicios web y de correo electrónico, lo que expone a las organizaciones al riesgo de robo de credenciales, manipulación de datos y otras vulnerabilidades”.
En paralelo a esta denuncia, el Departamento de Justicia de los Estados Unidos (DOJ) y el FBI anunciaron una operación para neutralizar la parte norteamericana de esta red de enrutadores comprometidos por el APT28. El DOJ acusó argumentó la acción señalando que dicha unidad cibernética habría utilizado los enrutadores para facilitar operaciones maliciosas de secuestro del Sistema de Nombres de Dominio (DNS) contra objetivos de inteligencia de interés para el gobierno ruso alrededor del mundo, incluyendo personas en sectores militares, gubernamentales y de infraestructura crítica.
De acuerdo con información recolectada por diferentes medios, la operación -que contó con el apoyo de empresas del sector tecnológico- logró interrumpir la campaña de ciberespionaje, desmantelando parte de la infraestructura utilizada en ataques de secuestro de DNS.
Según reportes de ciberseguridad, la técnica utilizada por el grupo para modificar la configuración de los router SOHO y redirigir el tráfico de internet hacia servidores controlados por los atacantes, permitió interceptar credenciales, incluidas cuentas de Microsoft 365, sin necesidad de instalar malware en los dispositivos afectados.
Al manipular los ajustes de los DNS los atacantes lograban redirigir a las víctimas hacia sitios falsos que imitaban servicios legítimos. “Este enfoque permitió un ataque casi invisible que no requería interacción del usuario”, señalaron investigadores de la empresa Lumen, quienes siguieron la evolución de la campaña.
El alcance de la campaña, denominada como FrostArmada, fue significativo. En su punto más alto, se detectaron más de 18 mil routers comprometidos en al menos 120 países, afectando a organismos gubernamentales, proveedores de tecnología y entidades críticas. Microsoft indicó que más de 200 organizaciones y miles de dispositivos estuvieron expuestos a esta red de espionaje.
Las autoridades británicas también advirtieron que los ataques no solo se limitaron al robo de credenciales, sino que formaban parte de una estrategia más amplia de inteligencia que les permitiía obtener acceso indirecto a redes corporativas más grandes.
Desde el NCSC calificaron este tipo de operación de “naturaleza oportunista” dado que primero buscan obtener visibilidad de un grupo importante de sujetos de interés que filtran en una segunda etapa, priorizando a sus víctimas de acuerdo con el valor de información de inteligencia a la que les permitiría acceder.
Los informes del NCSC revelan que el grupo explotó fallas conocidas en equipos de marcas ampliamente utilizadas, como MikroTik y TP-Link, aprovechando configuraciones débiles o software desactualizado. El organismo advirtió que esta actividad demuestra cómo “vulnerabilidades en dispositivos de red ampliamente utilizados pueden ser explotadas por actores sofisticados”, reforzando la necesidad de mantener sistemas actualizados y seguros. El documento además entrega indicadores de compromiso y medidas de mitigación.
Pese a la interrupción parcial de la infraestructura maliciosa, expertos advierten que el riesgo no ha desaparecido.
Las recomendaciones del reporte apuntan a medidas básicas pero efectivas: actualizar el firmware de los routers, cambiar credenciales predeterminadas, utilizar autenticación multifactor, desactivar accesos remotos innecesarios y monitorear configuraciones de red, entre otras.