ASV mudina organizācijas attīrīt maršrutētājus, ko inficējusi Krievijas hakeru grupa APT28

ASV valdība nesen ir veikusi pasākumus pret kiberspiegošanas kampaņu, ko īstenoja Krievijas APT28 grupa, kas pazīstama arī kā Fancy Bear vai Sednit . Pēc robottīkla demontāžas, kas sastāv no Ubiquiti maršrutētājiem, kuri bija inficēti ar ļaunprātīgu programmatūru, kas nodēvēta par " Moobot ", varas iestādes tagad mudina organizācijas un personas tīrīt savas ierīces, lai atbalstītu traucējumus.

Inficētos maršrutētājus, kurus galvenokārt izmanto mazā biroja/mājas biroja (SOHO) iestatījumos, apdraudēja kibernoziedznieki, kuri izmantoja noklusējuma akreditācijas datus un trojānizēja OpenSSH servera procesus, kas saistīti ar Moobot. Pēc tam APT28 ieguva kontroli pār šiem maršrutētājiem, izmantojot tos slepenām operācijām, kas vērstas uz dažādām nozarēm visā Eiropā, Tuvajos Austrumos un ASV, tostarp aviācijā, enerģētikā, valdībā, ražošanā un tehnoloģijās.

Nokļūstot maršrutētājos, APT28 dalībnieki izmantoja dažādas taktikas, tostarp akreditācijas datu vākšanu, tīkla trafika starpniekserveri un pielāgotu pēcekspluatācijas rīku izvietošanu . Viņi arī izmantoja programmas Outlook nulles dienas ievainojamību, lai savāktu akreditācijas datus no mērķkontiem un izvietoja Python skriptus turpmākai akreditācijas datu iegūšanai.

Turklāt APT28 izmantoja kompromitētos maršrutētājus komandu un kontroles nolūkos, izmantojot tos kā infrastruktūru Python aizmugures durvīm ar nosaukumu MasePie. Grupa izmantoja sarežģītas metodes, piemēram, reverso starpniekservera savienojumu izveidi un SSH RSA atslēgu augšupielādi, lai izveidotu reversos SSH tuneļus.

Lai novērstu draudus, ieteikumā ir ieteikti vairāki mazināšanas pasākumi, tostarp ierīču rūpnīcas atiestatīšana, programmaparatūras atjaunināšana, noklusējuma akreditācijas datu maiņa un ugunsmūra noteikumu ieviešana. Organizācijas un patērētāji tiek mudināti izmantot nodrošinātos kompromisa indikatorus (IoC), lai atklātu infekcijas pazīmes un veiktu nepieciešamās darbības, lai novērstu līdzīgus kompromisus nākotnē.

Kopumā ASV valdības aicinājums rīkoties uzsver pastāvīgos APT28 radītos draudus un to, cik svarīgi ir nodrošināt tīkla infrastruktūru, lai nodrošinātu aizsardzību pret kiberspiegošanas darbībām .