ארה"ב דוחקת בארגונים לנקות נתבים שנדבקו על ידי קבוצת ההאקרים APT28 של רוסיה

ממשלת ארה"ב נקטה לאחרונה בפעולה נגד מסע ריגול סייבר שנערך על ידי קבוצת APT28 הרוסית, הידועה גם בשם Fancy Bear או Sednit . לאחר פירוק רשת בוט המורכבת מנתבי Ubiquiti, שנדבקו בתוכנות זדוניות המכונה ' מובוט ', הרשויות דוחקות כעת בארגונים ובפרטים לנקות את המכשירים שלהם כדי לתמוך במאמצי השיבוש.

הנתבים הנגועים, המשמשים בעיקר בהגדרות של משרד קטן/משרד ביתי (SOHO), נפגעו על ידי פושעי סייבר שניצלו אישורי ברירת מחדל ותהליכים טרויאניים של שרת OpenSSH הקשורים ל-Moobot. לאחר מכן, APT28 השיגה שליטה על נתבים אלה, תוך שימוש בהם לפעולות חשאיות המכוונות למגזרים שונים ברחבי אירופה, המזרח התיכון וארה"ב, כולל תעופה וחלל, אנרגיה, ממשל, ייצור וטכנולוגיה.

לאחר שנכנסו לנתבים, שחקני APT28 השתמשו בטקטיקות שונות, כולל איסוף אישורים, העברת תעבורת רשת ופריסה של כלים מותאמים אישית לאחר ניצול . הם גם ניצלו פגיעות של יום אפס ב-Outlook כדי לאסוף אישורים מחשבונות ממוקדים ופרסו סקריפטים של Python להמשך קצירת אישורים.

יתר על כן, APT28 מינפה את הנתבים שנפגעו למטרות פקודה ושליטה, תוך שימוש בהם כתשתית לדלת אחורית של Python בשם MasePie. הקבוצה השתמשה בטכניקות מתוחכמות כגון יצירת חיבורי פרוקסי הפוכים והעלאת מפתחות SSH RSA כדי ליצור מנהרות SSH הפוכות.

כדי להתמודד עם האיום, הייעוץ ממליץ על מספר אמצעי הפחתה, כולל איפוס התקנים להגדרות היצרן, עדכון קושחה, שינוי אישורי ברירת המחדל ויישום כללי חומת אש. ארגונים וצרכנים מוזמנים להשתמש באינדיקטורים המסופקים של פשרה (IoCs) כדי לזהות סימני זיהום ולנקוט בפעולות הנדרשות כדי למנוע פשרות דומות בעתיד.

בסך הכל, הקריאה לפעולה של ממשלת ארה"ב מדגישה את האיום המתמשך הנשקף מ-APT28 ואת החשיבות של אבטחת תשתית הרשת להגנה מפני פעילויות ריגול סייבר .