Router Roulette: Criminelen en de Verenigde Staten Delen Gecompromitteerde Netwerken.

Gecompromitteerde routers worden een verzamelpunt waar cybercriminelen en staatsactoren een gemeenschappelijk doel delen: hun kwaadwillende activiteiten verbergen en opsporing bemoeilijken. Deze realiteit is aan het licht gekomen na de ontdekking van een botnet van Ubiquiti EdgeRouters die actief was sinds 2016, tot de FBI en andere internationale partners de operaties in januari 2024 verstoorden.

Gemeenschappelijke Belangen tussen Staten en Cybercriminelen

Gecompromitteerde routers worden niet alleen gebruikt door cybercriminelen om zichzelf te verhuren aan elkaar of aan commerciële aanbieders van residentiële proxies, maar worden ook benut door staatsgroepen zoals Pawn Storm, die toegang kreeg tot het botnet voor hun voortdurende spionage. Tegelijkertijd gebruikte Sandworm, een andere staatsactor, zijn eigen botnet van routers om zijn bewegingen te verbergen.

De Proxy-Infrastructuur

Het EdgeRouter-botnet, dat deels door de FBI werd ontmanteld, was sinds ten minste 2016 in werking en integreerde een combinatie van bash-scripts, Python en andere kwaadaardige programma’s zoals SSHDoor, waarmee aanvallers legitieme inloggegevens konden verkrijgen en toegang konden behouden. Bovendien omvatte het botnet ook Raspberry Pi’s, Linux-apparaten en Virtual Private Servers (VPS), die werden gebruikt om cryptomunten zoals Monero te mijnen.

Verstoring en Herorganisatie

Na interventie door de FBI migreerde de botnetoperator sommige van de gecompromitteerde apparaten naar een nieuwe infrastructuur, waardoor de activiteiten konden worden voortgezet. Dit toont aan dat, ondanks operaties van wetshandhavingsinstanties, cybercriminelen manieren vinden om zich aan te passen en toegang te behouden tot deze netwerken.

Overlapping van Dreigingen

Naast Pawn Storm is er nog een andere significante groep, bekend als Ngioweb, aanwezig op sommige van dezelfde routers, gebruikmakend van geavanceerde technieken om in het geheugen te opereren en het achterlaten van kwaadaardige bestanden op de schijf te voorkomen. Deze overlapping van dreigingen toont de toenemende interesse van meerdere actoren in het exploiteren van gecompromitteerde routers en servers om hun activiteit te verbergen.

Aanbevelingen om Routers te Beschermen

Om het risico van onderdeel te zijn van een gecompromitteerd netwerk te beperken, wordt netwerkbeheerders geadviseerd:

  1. Zorg ervoor dat de routers niet blootgesteld zijn aan inkomende internetverbindingen tenzij dat absoluut noodzakelijk is.
  2. Controleer op de aanwezigheid van standaard inloggegevens en wijzig ze in veilige wachtwoorden.
  3. Identificeer onnodig openstaande poorten of verdachte configuraties op de router.
  4. Voer malware scans uit op de apparaten om afwijkende activiteit te detecteren.

Cyberoorlog heeft de weg gevonden naar huishoudelijke en bedrijfsnetwerken via gecompromitteerde routers, dus het is essentieel om beveiligingspraktijken te implementeren om te voorkomen dat je onderdeel wordt van een botnet, of dit nu wordt gebruikt door een cybercrimineel of een staatsactor.

Meer informatie op Trend Micro