USA opfordrer indtrængende organisationer til at rydde op i routere, der er inficeret af Ruslands APT28 Hacker Group

Den amerikanske regering har for nylig grebet ind mod en cyberspionagekampagne udført af den russiske APT28- gruppe, også kendt som Fancy Bear eller Sednit . Efter demonteringen af et botnet bestående af Ubiquiti-routere, som var inficeret med malware kaldet ' Moobot ', opfordrer myndigheder nu organisationer og enkeltpersoner til at rydde op i deres enheder for at støtte afbrydelsesindsatsen.

De inficerede routere, der primært bruges i små kontor/hjemmekontorer (SOHO), blev kompromitteret af cyberkriminelle, som udnyttede standardoplysninger og trojanske OpenSSH-serverprocesser forbundet med Moobot. APT28 fik derefter kontrol over disse routere og brugte dem til hemmelige operationer rettet mod forskellige sektorer i Europa, Mellemøsten og USA, herunder rumfart, energi, regering, produktion og teknologi.

Når de først var inde i routerne, brugte APT28-aktører forskellige taktikker, herunder indsamling af legitimationsoplysninger, proxy-servering af netværkstrafik og implementering af brugerdefinerede post-udnyttelsesværktøjer . De udnyttede også en nul-dages sårbarhed i Outlook til at indsamle legitimationsoplysninger fra målrettede konti og implementerede Python-scripts til yderligere indsamling af legitimationsoplysninger.

Ydermere udnyttede APT28 de kompromitterede routere til kommando-og-kontrolformål ved at bruge dem som infrastruktur til en Python-bagdør kaldet MasePie. Gruppen brugte sofistikerede teknikker såsom etablering af reverse proxy-forbindelser og upload af SSH RSA-nøgler for at etablere reverse SSH-tunneler.

For at imødegå truslen anbefaler rådgivningen adskillige afbødende foranstaltninger, herunder fabriksnulstilling af enheder, opdatering af firmware, ændring af standardlegitimationsoplysninger og implementering af firewallregler. Organisationer og forbrugere opfordres til at bruge angivne indikatorer for kompromis (IoC'er) til at opdage tegn på infektion og træffe nødvendige foranstaltninger for at forhindre lignende kompromiser i fremtiden.

Samlet set understreger den amerikanske regerings opfordring til handling den vedvarende trussel fra APT28 og vigtigheden af at sikre netværksinfrastruktur for at beskytte mod cyberspionageaktiviteter .