USA nabádají organizace, aby vyčistily routery infikované ruskou APT28 Hacker Group

Americká vláda nedávno zasáhla proti kyberšpionážní kampani vedené ruskou skupinou APT28 , známou také jako Fancy Bear nebo Sednit . Po demontáži botnetu složeného z routerů Ubiquiti, které byly infikovány malwarem zvaným „ Moobot “, úřady nyní vyzývají organizace a jednotlivce, aby vyčistili svá zařízení a podpořili tak úsilí o narušení.

Infikované routery, které se primárně používají v nastaveních malých kanceláří/domácích kanceláří (SOHO), byly kompromitovány kyberzločinci, kteří zneužili výchozí přihlašovací údaje a trojanizované procesy serveru OpenSSH spojené s Moobotem. APT28 pak získal kontrolu nad těmito routery a využil je pro tajné operace zaměřené na různá odvětví v Evropě, na Středním východě a v USA, včetně letectví, energetiky, vlády, výroby a technologií.

Jakmile se hráči APT28 dostali do směrovačů, využili různé taktiky, včetně shromažďování přihlašovacích údajů, proxy síťového provozu a nasazení vlastních nástrojů po využití . Také využili zranitelnosti aplikace Outlook zero-day ke shromažďování přihlašovacích údajů z cílových účtů a nasadili skripty Python pro další získávání přihlašovacích údajů.

Kromě toho APT28 využil kompromitované směrovače pro účely příkazů a řízení a použil je jako infrastrukturu pro zadní vrátka Pythonu s názvem MasePie. Skupina použila sofistikované techniky, jako je navázání reverzních připojení proxy a nahrání klíčů SSH RSA k vytvoření reverzních tunelů SSH.

K řešení hrozby doporučení doporučuje několik opatření ke zmírnění, včetně obnovení továrního nastavení zařízení, aktualizace firmwaru, změny výchozích přihlašovacích údajů a implementace pravidel brány firewall. Organizace a spotřebitelé se vyzývají, aby využívali poskytnuté indikátory kompromitace (IoC) k detekci příznaků infekce a podnikli nezbytná opatření, která podobným kompromitům v budoucnu zabrání.

Výzva vlády USA k akci celkově podtrhuje přetrvávající hrozbu, kterou představuje APT28, a důležitost zabezpečení síťové infrastruktury pro ochranu před kyberšpionážními aktivitami .