الولايات المتحدة تحث المنظمات على تنظيف أجهزة التوجيه المصابة بمجموعة قرصنة APT28 الروسية

اتخذت الحكومة الأمريكية مؤخرًا إجراءات ضد حملة تجسس إلكتروني أجرتها مجموعة APT28 الروسية، والمعروفة أيضًا باسم Fancy Bear أو Sednit . بعد تفكيك شبكة الروبوتات المكونة من أجهزة توجيه Ubiquiti، والتي أصيبت ببرامج ضارة يطلق عليها اسم " Moobot "، تحث السلطات الآن المنظمات والأفراد على تنظيف أجهزتهم لدعم جهود التعطيل.

تم اختراق أجهزة التوجيه المصابة، المستخدمة بشكل أساسي في إعدادات المكاتب الصغيرة/المكاتب المنزلية (SOHO)، من قبل مجرمي الإنترنت الذين استغلوا بيانات الاعتماد الافتراضية وعمليات خادم OpenSSH المرتبطة بـ Moobot والتي أصابت طروادة. ثم اكتسبت APT28 السيطرة على أجهزة التوجيه هذه، واستخدمتها في عمليات سرية تستهدف قطاعات مختلفة في جميع أنحاء أوروبا والشرق الأوسط والولايات المتحدة، بما في ذلك الطيران والطاقة والحكومة والتصنيع والتكنولوجيا.

بمجرد دخول أجهزة التوجيه، استخدم ممثلو APT28 تكتيكات مختلفة، بما في ذلك جمع بيانات الاعتماد، وإنشاء وكلاء لحركة مرور الشبكة، ونشر أدوات مخصصة لمرحلة ما بعد الاستغلال . لقد استغلوا أيضًا ثغرة يوم الصفر في Outlook لجمع بيانات الاعتماد من الحسابات المستهدفة ونشروا نصوص Python لمزيد من جمع بيانات الاعتماد.

علاوة على ذلك، استفادت APT28 من أجهزة التوجيه المخترقة لأغراض القيادة والتحكم، واستخدمتها كبنية تحتية لباب خلفي لـ Python يسمى MasePie. استخدمت المجموعة تقنيات معقدة مثل إنشاء اتصالات وكيل عكسي وتحميل مفاتيح SSH RSA لإنشاء أنفاق SSH عكسية.

ولمعالجة هذا التهديد، يوصي التقرير بالعديد من إجراءات التخفيف، بما في ذلك إعادة ضبط الأجهزة على إعدادات المصنع، وتحديث البرامج الثابتة، وتغيير بيانات الاعتماد الافتراضية، وتنفيذ قواعد جدار الحماية. يتم تشجيع المؤسسات والمستهلكين على استخدام مؤشرات الاختراق المتوفرة (IoCs) للكشف عن علامات الإصابة واتخاذ الإجراءات اللازمة لمنع حدوث تسويات مماثلة في المستقبل.

بشكل عام، تؤكد دعوة حكومة الولايات المتحدة للعمل على التهديد المستمر الذي تشكله APT28 وأهمية تأمين البنية التحتية للشبكة للحماية من أنشطة التجسس الإلكتروني .