Οι ΗΠΑ προτρέπουν τους οργανισμούς να καθαρίσουν τους δρομολογητές που έχουν μολυνθεί από τη ρωσική ομάδα χάκερ APT28

Η κυβέρνηση των ΗΠΑ ανέλαβε πρόσφατα δράση κατά μιας εκστρατείας κυβερνοκατασκοπείας που διεξάγεται από τη ρωσική ομάδα APT28 , γνωστή και ως Fancy Bear ή Sednit . Μετά την αποσυναρμολόγηση ενός botnet αποτελούμενου από δρομολογητές Ubiquiti, οι οποίοι είχαν μολυνθεί με κακόβουλο λογισμικό που ονομάστηκε « Moobot », οι αρχές καλούν τώρα τους οργανισμούς και τα άτομα να καθαρίσουν τις συσκευές τους για να υποστηρίξουν τις προσπάθειες διακοπής.

Οι μολυσμένοι δρομολογητές, που χρησιμοποιούνται κυρίως σε ρυθμίσεις μικρού γραφείου/οικιακού γραφείου (SOHO), παραβιάστηκαν από εγκληματίες του κυβερνοχώρου που εκμεταλλεύονταν προεπιλεγμένα διαπιστευτήρια και τρωανισμένες διαδικασίες διακομιστή OpenSSH που σχετίζονται με το Moobot. Στη συνέχεια, το APT28 απέκτησε τον έλεγχο αυτών των δρομολογητών, χρησιμοποιώντας τους για μυστικές επιχειρήσεις που στοχεύουν διάφορους τομείς σε όλη την Ευρώπη, τη Μέση Ανατολή και τις ΗΠΑ, συμπεριλαμβανομένης της αεροδιαστημικής, της ενέργειας, της κυβέρνησης, της κατασκευής και της τεχνολογίας.

Όταν μπήκαν στους δρομολογητές, οι ηθοποιοί του APT28 χρησιμοποίησαν διάφορες τακτικές, συμπεριλαμβανομένης της συλλογής διαπιστευτηρίων, της διαμεσολάβησης της κυκλοφορίας δικτύου και της ανάπτυξης προσαρμοσμένων εργαλείων μετά την εκμετάλλευση . Εκμεταλλεύτηκαν επίσης μια ευπάθεια zero-day στο Outlook για τη συλλογή διαπιστευτηρίων από στοχευμένους λογαριασμούς και ανέπτυξαν σενάρια Python για περαιτέρω συλλογή διαπιστευτηρίων.

Επιπλέον, το APT28 χρησιμοποίησε τους παραβιασμένους δρομολογητές για σκοπούς εντολής και ελέγχου, χρησιμοποιώντας τους ως υποδομή για μια κερκόπορτα Python που ονομάζεται MasePie. Η ομάδα χρησιμοποίησε εξελιγμένες τεχνικές όπως η δημιουργία συνδέσεων ανάστροφου διακομιστή μεσολάβησης και η αποστολή κλειδιών SSH RSA για τη δημιουργία αντίστροφων σηράγγων SSH.

Για την αντιμετώπιση της απειλής, η συμβουλευτική συνιστά πολλά μέτρα μετριασμού, όπως επαναφορά εργοστασιακών ρυθμίσεων συσκευών, ενημέρωση υλικολογισμικού, αλλαγή προεπιλεγμένων διαπιστευτηρίων και εφαρμογή κανόνων τείχους προστασίας. Οι οργανισμοί και οι καταναλωτές ενθαρρύνονται να χρησιμοποιούν παρεχόμενους δείκτες συμβιβασμού (IoCs) για να ανιχνεύσουν σημάδια μόλυνσης και να λάβουν τα απαραίτητα μέτρα για να αποτρέψουν παρόμοιους συμβιβασμούς στο μέλλον.

Συνολικά, το κάλεσμα της κυβέρνησης των ΗΠΑ για δράση υπογραμμίζει τη συνεχιζόμενη απειλή που θέτει το APT28 και τη σημασία της ασφάλειας της υποδομής δικτύου για προστασία από δραστηριότητες κυβερνοκατασκοπείας .