Az Egyesült Államok sürgeti a szervezeteket, hogy tisztítsák meg az orosz APT28 hackercsoport által megfertőzött útválasztókat

Az amerikai kormány a közelmúltban fellépett az orosz APT28 csoport, más néven Fancy Bear vagy Sednit kiberkémkedési kampánya ellen. A „ Moobot ” névre keresztelt rosszindulatú programmal megfertőzött Ubiquiti routerekből álló botnet felszámolását követően a hatóságok most arra kérik a szervezeteket és magánszemélyeket, hogy tisztítsák meg eszközeiket a zavarás érdekében tett erőfeszítések támogatása érdekében.

A fertőzött útválasztókat, amelyeket elsősorban kis irodai/otthoni irodákban (SOHO) használnak, kiberbűnözők veszélyeztették, akik kihasználták az alapértelmezett hitelesítő adatokat, és a Moobothoz kapcsolódó OpenSSH-kiszolgálófolyamatokat trójaivá tették. Az APT28 ezután megszerezte az irányítást ezen útválasztók felett, és titkos műveletekre használta őket, amelyek Európa, a Közel-Kelet és az Egyesült Államok különböző ágazatait célozták meg, beleértve a repülést, az energiát, a kormányzatot, a gyártást és a technológiát.

Miután bekerültek az útválasztókba, az APT28 szereplői különféle taktikákat alkalmaztak, beleértve a hitelesítő adatok gyűjtését, a hálózati forgalom proxyját és az egyéni utókihasználási eszközök telepítését . Kihasználták az Outlook nulladik napos sebezhetőségét is, hogy hitelesítő adatokat gyűjtsenek a megcélzott fiókokból, és Python-szkripteket telepítettek a további hitelesítő adatok begyűjtése érdekében.

Ezenkívül az APT28 kihasználta a kompromittált útválasztókat parancs- és vezérlési célokra, infrastruktúraként használva őket a MasePie nevű Python hátsó ajtóhoz. A csoport olyan kifinomult technikákat alkalmazott, mint például a fordított proxy kapcsolatok létrehozása és az SSH RSA kulcsok feltöltése a fordított SSH alagutak létrehozásához.

A fenyegetés kezelésére a tanácsadó több enyhítő intézkedést javasol, beleértve az eszközök gyári alaphelyzetbe állítását, a firmware frissítését, az alapértelmezett hitelesítő adatok megváltoztatását és a tűzfalszabályok végrehajtását. A szervezeteket és a fogyasztókat arra biztatjuk, hogy használják a rendelkezésre álló kompromisszumjelzőket (IoC) a fertőzés jeleinek észlelésére, és tegyenek meg a szükséges intézkedéseket a hasonló kompromittációk jövőbeni megelőzésére.

Összességében az Egyesült Államok kormányának cselekvésre való felhívása hangsúlyozza az APT28 által jelentett folyamatos fenyegetést, valamint a hálózati infrastruktúra biztonságának fontosságát a kiberkémtevékenységek elleni védelem érdekében.