SUA îndeamnă organizațiile să curețe routerele infectate de grupul rus de hackeri APT28

Guvernul SUA a luat recent măsuri împotriva unei campanii de spionaj cibernetic condusă de grupul rus APT28 , cunoscut și sub numele de Fancy Bear sau Sednit . După dezmembrarea unei rețele botne formate din routere Ubiquiti, care au fost infectate cu programe malware numite „ Moobot ”, autoritățile îndeamnă acum organizațiile și persoanele să își curețe dispozitivele pentru a sprijini eforturile de întrerupere.

Routerele infectate, utilizate în principal în setările de birou mic/birou de acasă (SOHO), au fost compromise de infractorii cibernetici care au exploatat acreditările implicite și procesele troianizate ale serverului OpenSSH asociate cu Moobot. APT28 a câștigat apoi controlul asupra acestor routere, utilizându-le pentru operațiuni ascunse care vizează diverse sectoare din Europa, Orientul Mijlociu și SUA, inclusiv aerospațial, energie, guvern, producție și tehnologie.

Odată ajunși în routere, actorii APT28 au folosit diverse tactici, inclusiv colectarea acreditărilor, proxy traficul de rețea și implementarea instrumentelor personalizate de post-exploatare . De asemenea, au exploatat o vulnerabilitate zero-day în Outlook pentru a colecta acreditări de la conturile vizate și au implementat scripturi Python pentru colectarea ulterioară a acreditărilor.

Mai mult, APT28 a folosit routerele compromise în scopuri de comandă și control, utilizându-le ca infrastructură pentru o ușă din spate Python numită MasePie. Grupul a folosit tehnici sofisticate, cum ar fi stabilirea de conexiuni reverse proxy și încărcarea cheilor SSH RSA pentru a stabili tuneluri SSH inverse.

Pentru a aborda amenințarea, avizul recomandă mai multe măsuri de atenuare, inclusiv resetarea din fabrică a dispozitivelor, actualizarea firmware-ului, schimbarea acreditărilor implicite și implementarea regulilor de firewall. Organizațiile și consumatorii sunt încurajați să utilizeze indicatorii furnizați de compromis (IoC) pentru a detecta semnele de infecție și să ia măsurile necesare pentru a preveni compromisuri similare în viitor.

În general, apelul la acțiune al guvernului SUA subliniază amenințarea continuă reprezentată de APT28 și importanța securizării infrastructurii de rețea pentru a proteja împotriva activităților de spionaj cibernetic .