De VS dringen er bij organisaties op aan om routers op te ruimen die zijn geïnfecteerd door de Russische APT28-hackergroep

De Amerikaanse overheid heeft onlangs actie ondernomen tegen een cyberspionagecampagne van de Russische APT28- groep, ook wel bekend als Fancy Bear of Sednit . Na de ontmanteling van een botnet bestaande uit Ubiquiti-routers, die waren geïnfecteerd met malware genaamd ' Moobot ', dringen de autoriteiten er nu bij organisaties en individuen op aan hun apparaten op te ruimen om de verstoringsinspanningen te ondersteunen.

De geïnfecteerde routers, die voornamelijk worden gebruikt in kleine kantoren/thuiskantoren (SOHO), werden gecompromitteerd door cybercriminelen die standaardreferenties misbruikten en OpenSSH-serverprocessen geassocieerd met Moobot trojaneerden. APT28 kreeg vervolgens de controle over deze routers en gebruikte ze voor geheime operaties gericht op verschillende sectoren in Europa, het Midden-Oosten en de VS, waaronder de lucht- en ruimtevaart, energie, overheid, productie en technologie.

Eenmaal binnen in de routers gebruikten APT28-actoren verschillende tactieken, waaronder het verzamelen van inloggegevens, het proxyen van netwerkverkeer en het inzetten van aangepaste post-exploitatietools . Ze maakten ook misbruik van een zero-day-kwetsbaarheid in Outlook om inloggegevens van gerichte accounts te verzamelen en implementeerden Python-scripts voor het verder verzamelen van inloggegevens.

Bovendien gebruikte APT28 de gecompromitteerde routers voor command-and-control-doeleinden en gebruikte ze als infrastructuur voor een Python-achterdeur genaamd MasePie. De groep maakte gebruik van geavanceerde technieken zoals het opzetten van reverse proxy-verbindingen en het uploaden van SSH RSA-sleutels om reverse SSH-tunnels tot stand te brengen.

Om de dreiging het hoofd te bieden, beveelt het advies verschillende beperkende maatregelen aan, waaronder het terugzetten van apparaten naar de fabrieksinstellingen, het updaten van firmware, het wijzigen van standaardreferenties en het implementeren van firewallregels. Organisaties en consumenten worden aangemoedigd om de meegeleverde indicatoren van compromissen (IoC's) te gebruiken om tekenen van infectie op te sporen en de nodige maatregelen te nemen om soortgelijke compromissen in de toekomst te voorkomen.

Over het geheel genomen onderstreept de oproep van de Amerikaanse regering tot actie de voortdurende dreiging die uitgaat van APT28 en het belang van het beveiligen van de netwerkinfrastructuur ter bescherming tegen cyberspionageactiviteiten .