ایالات متحده از سازمان‌ها می‌خواهد روترهای آلوده به گروه هکرهای روسیه APT28 را پاکسازی کنند.

دولت ایالات متحده اخیراً علیه یک کمپین جاسوسی سایبری که توسط گروه روسی APT28 ، همچنین به عنوان Fancy Bear یا Sednit شناخته می شود، اقدام کرده است. پس از از بین بردن یک بات نت متشکل از روترهای Ubiquiti که به بدافزاری به نام Moobot آلوده شده بودند، مقامات اکنون از سازمان ها و افراد می خواهند که دستگاه های خود را برای حمایت از تلاش های اختلال پاکسازی کنند.

روترهای آلوده، که عمدتاً در تنظیمات دفتر/دفتر خانگی کوچک (SOHO) استفاده می‌شوند، توسط مجرمان سایبری که از اعتبارنامه‌های پیش‌فرض و پروسه‌های سرور OpenSSH مرتبط با Moobot سوء استفاده می‌کردند، در معرض خطر قرار گرفتند. سپس APT28 کنترل این روترها را به دست آورد و از آنها برای عملیات مخفیانه که بخش‌های مختلف در سراسر اروپا، خاورمیانه و ایالات متحده را هدف قرار می‌دهد، از جمله هوافضا، انرژی، دولت، تولید و فناوری استفاده کرد.

پس از ورود به روترها، بازیگران APT28 از تاکتیک‌های مختلفی از جمله جمع‌آوری اعتبار، پروکسی کردن ترافیک شبکه و استقرار ابزارهای سفارشی پس از بهره‌برداری استفاده کردند. آنها همچنین از یک آسیب‌پذیری روز صفر در Outlook برای جمع‌آوری اعتبارنامه‌ها از حساب‌های هدفمند استفاده کردند و اسکریپت‌های پایتون را برای جمع‌آوری اعتبار بیشتر مستقر کردند.

علاوه بر این، APT28 از روترهای در معرض خطر برای اهداف فرمان و کنترل استفاده کرد و از آنها به عنوان زیرساخت برای درب پشتی پایتون به نام MasePie استفاده کرد. این گروه از تکنیک‌های پیچیده‌ای مانند ایجاد اتصالات پراکسی معکوس و بارگذاری کلیدهای SSH RSA برای ایجاد تونل‌های SSH معکوس استفاده کردند.

برای مقابله با این تهدید، مشاوره چندین اقدام کاهشی از جمله بازنشانی دستگاه ها، به روز رسانی سیستم عامل، تغییر اعتبار پیش فرض و اجرای قوانین فایروال را توصیه می کند. سازمان‌ها و مصرف‌کنندگان تشویق می‌شوند تا از شاخص‌های سازش (IoCs) برای تشخیص علائم عفونت و انجام اقدامات لازم برای جلوگیری از سازش‌های مشابه در آینده استفاده کنند.

به طور کلی، درخواست دولت ایالات متحده برای اقدام بر تهدید مداوم ناشی از APT28 و اهمیت ایمن سازی زیرساخت شبکه برای محافظت در برابر فعالیت های جاسوسی سایبری تأکید می کند.