Le FBI souligne que l’accès root accordé aux Ubiquiti EdgeRouters compromis offre aux acteurs malveillants, tels que le groupe APT28 soutenu par le GRU russe, un contrôle sans limite sur les systèmes d’exploitation basés sur Linux. Ces intrusions facilitent la dissimulation de leur identité et l’exécution de campagnes malveillantes à grande échelle. Les autorités ont récemment révélé une opération visant à éliminer discrètement les logiciels malveillants russes des routeurs, suivi de l’ajout de règles de pare-feu pour prévenir toute réinfection par APT28.

Les propriétaires d’appareils concernés sont vivement encouragés à prendre des mesures correctives immédiates, notamment la réinitialisation d’usine du matériel, la mise à jour du micrologiciel, la modification des identifiants par défaut, et l’implémentation de règles de pare-feu strictes. Ces actions sont essentielles pour contrer les activités d’APT28, qui utilisent les routeurs infectés depuis au moins 2022 pour mener des opérations secrètes dans divers secteurs et pays à travers le monde.

Les pirates exploitent les routeurs infectés pour collecter des informations sensibles, héberger des pages de destination malveillantes et exécuter des attaques post-exploitation. Les attaques précédentes ont révélé l’exploitation de vulnérabilités zero-day, telles que CVE-2023-23397 dans l’application Outlook de Microsoft. De plus, les autorités ont également observé des attaques utilisant des outils publics tels qu’Impacket ntlmrelayx.py et Responder.

Ces événements mettent en lumière le rôle persistant des routeurs dans les opérations de piratage d’États-nations, soulignant l’importance d’une vigilance continue de la part des utilisateurs finaux et des autorités. En outre, ces révélations récentes ont incité les agences à adopter une approche proactive pour supprimer les logiciels malveillants et à fournir des directives détaillées pour identifier et remédier aux compromis potentiels.