In einer Recherche analysierte Trend Micro, wie Pawn Storm (auch APT28 oder Forest Blizzard) und andere APT-Akteure, Router kompromittieren und diese dadurch zu einem Teil von Botnets werden. Cyberkriminelle und Advanced-Persistent-Threat- (APT)-Akteure haben ein gemeinsames Interesse an Proxy-Anonymisierungsschichten und Virtual Private Network (VPN)-Knoten.
Der Grund dafür ist, dass sie darüber Spuren ihrer Präsenz verbergen und die Entdeckung bösartiger Aktivitäten erschweren können. Dieses Interesse generiert bösartigen Internetverkehr, der finanzielle und spionagebezogene Motive miteinander verbindet.
Trend Micros Bericht lässt sich wie folgt zusammenfassen:
Cyberkriminelle und nationalstaatliche Akteure haben ein gemeinsames Interesse an kompromittierten Routern, die als Mittel der Anonymisierung verwendet werden.
Cyberkriminelle vermieten kompromittierte Router an andere Kriminelle und stellen sie höchstwahrscheinlich auch kommerziellen privaten Proxy-Anbietern zur Verfügung.
Staatliche Bedrohungsakteure wie Sandworm verwendeten ihre eigenen Proxy-Botnets, während die APT-Gruppe Pawn Storm (APT28) Zugang zu einem kriminellen Proxy-Botnet aus Ubiquiti EdgeRoutern hatte.
Das von Pawn Storm/APT28 genutzte EdgeRouter-Botnetz (das im Januar 2024 vom US-FBI gestoppt wurde) geht auf das Jahr 2016 zurück.
Das Botnet umfasst auch andere Router und virtuelle private Server (VPS). Nach der Unterbrechung gelang es den Betreibern des Botnetzes, die Bots auf eine neu eingerichtete Command-and-Control-Infrastruktur (C&C) zu übertragen.
Auf einigen kompromittierten Edge Routern fand Trend Micro Aktivitäten von zwei bedeutenden cyberkriminellen Gruppen und einem nationalstaatlichen Bedrohungsakteur (Pawn Storm).
Hunderte von Ubiquiti-EdgeRouter-Routern eingesetzt
Ein bekanntes Beispiel ist ein cyberkriminelles Botnet (das mindestens seit 2016 in Betrieb ist), das kompromittierte Ubiquiti-EdgeRouter-Geräte verwendete und im Januar 2024 vom FBI in Zusammenarbeit mit anderen internationalen Partnern ausgeschaltet wurde. Im April 2022 gelang es der APT-Gruppe Pawn Storm, Zugang zu den Bots in diesem Botnet zu erlangen, um sie dann für seine eigenen anhaltenden Spionagekampagnen zu nutzen.
Trend Micros Telemetriedaten sowie die von Drittanbietern zeigen, dass Hunderte von Ubiquiti EdgeRouter-Routern für verschiedene Zwecke eingesetzt wurden, zum Beispiel für Secure-Shell- (SSH)-Brute-Forcing, pharmazeutischen Spam, den Einsatz von Server Message Block (SMB) Reflectors für NTLMv2-Hash-Relay-Angriffe, die Weiterleitung gestohlener Anmeldedaten auf Phishing-Seiten, Mehrzweck-Proxys, Kryptowährungs-Mining und den Versand von Spear-Phishing-E-Mails.
„Wir schreiben die NTLMv2-Hash-Relay-Angriffe und das Proxying von Anmeldedaten-Phishing Pawn Storm zu, während der pharmazeutische Spam mit der berüchtigten Canadian Pharmacy Gang in Verbindung zu stehen scheint“, so Feike Haquebord, Senior Threat Researcher bei Trend Micro.
Bedrohungsakteur Ngioweb-Malware
„Der Takedown durch das FBI war eine gerichtlich genehmigte Aktion, bei der Code und Einstellungen auf Ubiquiti-Geräten geändert wurden. Obwohl sich diese Änderungen rückgängig machen lassen, unterliegen sie sowohl rechtlichen Einschränkungen als auch technischen Herausforderungen.“
Weiter meint Feike Haquebord: „Wahrscheinlich konnten einige der Bots aufgrund dieser Einschränkungen nicht beseitigt werden. Unseren Recherchen zufolge gelang es dem Bedrohungsakteur außerdem, einige der EdgeRouter-Bots von dem abgeschalteten C&C-Server auf eine neu eingerichtete C&C-Infrastruktur Anfang Februar 2024 zu verschieben.“
Nach weiteren Untersuchungen fanden die Security-Forscher einen dritten wichtigen Bedrohungsakteur, der ebenfalls Malware auf EdgeRouter-Geräten ausführt, und zwar die so genannte Ngioweb-Malware im Speicher ohne bösartige Dateien auf der Festplatte. Eine Windows-Version von Ngioweb, die mit Ramnit in Verbindung steht, wurde erstmals 2018 beschrieben, während die Analyse einer Linux-Version später 2019 und 2020 folgte.
Spionageverkehr vermischt sich mit kriminellen Internetverkehr
Sie nutzt mehrere Schichten der C&C-Infrastruktur, um ein Botnet aus Reverse-Proxys zu bilden. Sie fanden außerdem Hinweise darauf, dass die mit Ngioweb-Malware infizierten EdgeRouter als Exit-Knoten in einem kommerziell erhältlichen Residential-Proxy-Botnet verwendet wurden.
Pawn Storm setzt ein kriminelles Proxy-Botnet eines Drittanbieters für seine Spionageoperationen ein. Dies hat den offensichtlichen Vorteil, dass sich der Spionageverkehr mit anderem kriminellen Internetverkehr vermischt. Mittlerweile haben andere APT-Akteure ihre eigenen dedizierten Botnets verwendet, wie etwa Sandworm in Verbindung mit Cyclops Blink, das aus gehackten Watchguard- und ASUS-Routern bestand und das das FBI und der britischen National Cyber Security Centre (NCSC) 2022 ausschaltete.
Andere APT-Akteure wie APT29 (auch bekannt als Midnight Blizzard) nutzen kommerziell verfügbare Proxynetzwerke und beschaffen sich deren Knotenpunkte oft über zwielichtige Methoden. APT29 nutzt auch regelmäßig die mit anderen Cyberkriminellen geteilte Infrastruktur, um Malware und Exploits zu hosten.
Internet-Router sind nach wie vor ein für Kompromittierungen beliebtes Asset bei Bedrohungsakteuren, da sie häufig ein schwaches Sicherheitsmonitoring haben, weniger strenge Passwortrichtlinien, selten aktualisiert werden und leistungsstarke Betriebssysteme verwenden, die die Installation von Malware wie Kryptowährungs-Miner, Proxys, DDoS-Malware, bösartigen Skripts und Webservern ermöglichen.