USA oppfordrer organisasjoner til å rydde opp rutere infisert av Russlands APT28 Hacker Group

Den amerikanske regjeringen har nylig tatt grep mot en nettspionasjekampanje utført av den russiske APT28- gruppen, også kjent som Fancy Bear eller Sednit . Etter demonteringen av et botnett bestående av Ubiquiti-rutere, som ble infisert med skadelig programvare kalt ' Moobot ', oppfordrer myndighetene nå organisasjoner og enkeltpersoner til å rydde opp i enhetene sine for å støtte avbruddsarbeidet.

De infiserte ruterne, primært brukt i små kontor/hjemmekontor (SOHO), ble kompromittert av nettkriminelle som utnyttet standardlegitimasjon og trojaniserte OpenSSH-serverprosesser knyttet til Moobot. APT28 fikk deretter kontroll over disse ruterne, og brukte dem til hemmelige operasjoner rettet mot ulike sektorer over hele Europa, Midtøsten og USA, inkludert romfart, energi, myndigheter, produksjon og teknologi.

En gang inne i ruterne, brukte APT28-aktører forskjellige taktikker, inkludert innsamling av legitimasjon, proxying av nettverkstrafikk og utplassering av tilpassede verktøy etter utnyttelse . De utnyttet også en null-dagers sårbarhet i Outlook for å samle inn legitimasjon fra målrettede kontoer og distribuerte Python-skript for videre innhenting av legitimasjon.

Videre utnyttet APT28 de kompromitterte ruterne til kommando-og-kontrollformål, ved å bruke dem som infrastruktur for en Python-bakdør kalt MasePie. Gruppen brukte sofistikerte teknikker som å etablere omvendte proxy-forbindelser og laste opp SSH RSA-nøkler for å etablere omvendte SSH-tunneler.

For å møte trusselen, anbefaler rådgiveren flere avbøtende tiltak, inkludert tilbakestilling av enheter, oppdatering av fastvare, endring av standard påloggingsinformasjon og implementering av brannmurregler. Organisasjoner og forbrukere oppfordres til å bruke oppgitte kompromissindikatorer (IoCs) for å oppdage tegn på infeksjon og iverksette nødvendige tiltak for å forhindre lignende kompromisser i fremtiden.

Samlet sett understreker den amerikanske regjeringens oppfordring til handling den pågående trusselen som utgjøres av APT28 og viktigheten av å sikre nettverksinfrastruktur for å beskytte mot cyberspionasjeaktiviteter .