САЩ призовават организациите да почистят рутерите, заразени от руската хакерска група APT28

Правителството на САЩ наскоро предприе действия срещу кампания за кибершпионаж, провеждана от руската група APT28 , известна още като Fancy Bear или Sednit . След демонтирането на ботнет, съставен от рутери на Ubiquiti, които бяха заразени със злонамерен софтуер, наречен „ Moobot “, властите сега призовават организациите и хората да почистят устройствата си, за да подкрепят усилията за прекъсване.

Заразените рутери, използвани основно в настройките на малък офис/домашен офис (SOHO), бяха компрометирани от киберпрестъпници, които експлоатираха идентификационни данни по подразбиране и троянизираха OpenSSH сървърни процеси, свързани с Moobot. След това APT28 придоби контрол над тези рутери, използвайки ги за тайни операции, насочени към различни сектори в Европа, Близкия изток и САЩ, включително аерокосмическия, енергийния, правителствения, производствения и технологичния.

Веднъж влезли в рутерите, участниците на APT28 използваха различни тактики, включително събиране на идентификационни данни, прокси мрежов трафик и внедряване на персонализирани инструменти след експлоатация . Те също така използваха уязвимост от нулев ден в Outlook, за да събират идентификационни данни от целеви акаунти и внедриха скриптове на Python за по-нататъшно събиране на идентификационни данни.

Освен това APT28 използва компрометираните рутери за целите на командването и контрола, като ги използва като инфраструктура за задната врата на Python, наречена MasePie. Групата използва сложни техники като установяване на обратни прокси връзки и качване на SSH RSA ключове за установяване на обратни SSH тунели.

За справяне със заплахата съветът препоръчва няколко мерки за смекчаване, включително фабрично нулиране на устройства, актуализиране на фърмуера, промяна на идентификационните данни по подразбиране и прилагане на правила за защитна стена. Организациите и потребителите се насърчават да използват предоставените индикатори за компрометиране (IoC), за да открият признаци на инфекция и да предприемат необходимите действия за предотвратяване на подобни компромиси в бъдеще.

Като цяло, призивът на правителството на САЩ за действие подчертава продължаващата заплаха, представлявана от APT28, и значението на осигуряването на мрежова инфраструктура за защита срещу дейности в кибершпионажа .