Yhdysvallat kehottaa organisaatioita puhdistamaan Venäjän APT28-hakkeriryhmän tartunnan saaneet reitittimet

Yhdysvaltain hallitus on hiljattain ryhtynyt toimiin venäläisen APT28 -ryhmän, joka tunnetaan myös nimellä Fancy Bear tai Sednit , toteuttamaa kybervakoilukampanjaa vastaan. Moobot- nimisellä haittaohjelmalla saastuneen Ubiquiti-reitittimien robottiverkon purkamisen jälkeen viranomaiset kehottavat nyt organisaatioita ja yksityishenkilöitä puhdistamaan laitteensa häiriötoimien tukemiseksi.

Tartunnan saaneet reitittimet, joita käytettiin ensisijaisesti pienten toimistojen/kotitoimistojen (SOHO) asetuksissa, vaarantuivat kyberrikollisten toimesta, jotka käyttivät hyväkseen oletustunnuksia ja troijasoivat Moobotiin liittyviä OpenSSH-palvelinprosesseja. APT28 sai sitten hallinnan näihin reitittimiin ja käytti niitä salaisiin operaatioihin, jotka kohdistuivat eri aloille Euroopassa, Lähi-idässä ja Yhdysvalloissa, mukaan lukien ilmailu, energia, hallinto, valmistus ja teknologia.

Reitittimien sisällä APT28-toimijat käyttivät erilaisia taktiikoita, mukaan lukien valtuustietojen kerääminen, verkkoliikenteen välityspalvelin ja mukautettujen jälkikäyttötyökalujen käyttöönotto . He myös hyödynsivät Outlookin nollapäivän haavoittuvuutta kerätäkseen tunnistetietoja kohdistetuilta tileiltä ja ottivat käyttöön Python-komentosarjoja tunnistetietojen keräämiseen.

Lisäksi APT28 hyödynsi vaarantuneita reitittimiä komento- ja ohjaustarkoituksiin ja käytti niitä infrastruktuurina Python-takaovelle nimeltä MasePie. Ryhmä käytti kehittyneitä tekniikoita, kuten käänteisten välityspalvelinyhteyksien muodostamista ja SSH RSA -avaimien lataamista käänteisten SSH-tunneleiden muodostamiseksi.

Uhan torjumiseksi neuvoja suosittelee useita lieventäviä toimenpiteitä, mukaan lukien laitteiden tehdasasetusten palauttaminen, laiteohjelmiston päivittäminen, oletustunnistetietojen muuttaminen ja palomuurisääntöjen käyttöönotto. Organisaatioita ja kuluttajia rohkaistaan hyödyntämään annettuja kompromissiindikaattoreita (IoC) tartunnan merkkien havaitsemiseksi ja ryhtymään tarvittaviin toimiin vastaavien kompromissien estämiseksi tulevaisuudessa.

Kaiken kaikkiaan Yhdysvaltain hallituksen toimintakehotus korostaa APT28:n aiheuttamaa jatkuvaa uhkaa ja verkkoinfrastruktuurin turvaamisen tärkeyttä kybervakoilua vastaan.