SAD poziva organizacije da očiste usmjerivače koje je zarazila ruska hakerska skupina APT28

Američka vlada nedavno je poduzela mjere protiv kampanje kibernetičke špijunaže koju provodi ruska grupa APT28 , također poznata kao Fancy Bear ili Sednit . Nakon demontaže botneta koji se sastoji od Ubiquiti usmjerivača, koji su bili zaraženi zlonamjernim softverom nazvanim " Moobot ", vlasti sada pozivaju organizacije i pojedince da očiste svoje uređaje kako bi podržali napore za prekid.

Zaražene usmjerivače, prvenstveno korištene u postavkama malog ureda/kućnog ureda (SOHO), kompromitirali su kibernetički kriminalci koji su iskorištavali zadane vjerodajnice i trojanizirali OpenSSH poslužiteljske procese povezane s Moobotom. APT28 je potom preuzeo kontrolu nad tim usmjerivačima, koristeći ih za tajne operacije usmjerene na različite sektore diljem Europe, Bliskog istoka i SAD-a, uključujući zrakoplovstvo, energetiku, vladu, proizvodnju i tehnologiju.

Nakon što su ušli u usmjerivače, akteri APT28 koristili su različite taktike, uključujući prikupljanje vjerodajnica, proxy mrežni promet i postavljanje prilagođenih alata za naknadnu eksploataciju . Također su iskoristili ranjivost zero-day u Outlooku za prikupljanje vjerodajnica s ciljanih računa i implementirali Python skripte za daljnju žetvu vjerodajnica.

Nadalje, APT28 je iskoristio kompromitirane usmjerivače za naredbeno-kontrolne svrhe, koristeći ih kao infrastrukturu za Python backdoor nazvan MasePie. Grupa je koristila sofisticirane tehnike kao što je uspostavljanje obrnutih proxy veza i učitavanje SSH RSA ključeva za uspostavljanje obrnutih SSH tunela.

Za rješavanje prijetnje, savjetodavni savjet preporučuje nekoliko mjera za ublažavanje, uključujući vraćanje uređaja na tvorničke postavke, ažuriranje firmvera, promjenu zadanih vjerodajnica i implementaciju pravila vatrozida. Organizacije i potrošači potiču se da koriste osigurane pokazatelje ugroženosti (IoCs) za otkrivanje znakova infekcije i poduzimanje potrebnih radnji za sprječavanje sličnih kompromisa u budućnosti.

Sve u svemu, poziv američke vlade na akciju naglašava stalnu prijetnju koju predstavlja APT28 i važnost osiguravanja mrežne infrastrukture za zaštitu od aktivnosti kibernetičke špijunaže .