США призывают организации очистить маршрутизаторы, зараженные российской хакерской группой APT28

Правительство США недавно приняло меры против кампании кибершпионажа, проводимой российской группой APT28 , также известной как Fancy Bear или Sednit . После демонтажа ботнета, состоящего из маршрутизаторов Ubiquiti, зараженных вредоносным ПО, получившим название « Moobot », власти теперь призывают организации и частных лиц очистить свои устройства, чтобы поддержать усилия по нарушению работы сети.

Зараженные маршрутизаторы, в основном используемые в небольших офисах/домашних офисах (SOHO), были скомпрометированы киберпреступниками, которые использовали учетные данные по умолчанию и троянизировали серверные процессы OpenSSH, связанные с Moobot. Затем APT28 получила контроль над этими маршрутизаторами, используя их для тайных операций, нацеленных на различные сектора Европы, Ближнего Востока и США, включая аэрокосмическую, энергетическую, правительственную, производственную и технологическую сферы.

Оказавшись внутри маршрутизаторов, злоумышленники APT28 использовали различные тактики, включая сбор учетных данных, проксирование сетевого трафика и развертывание специальных инструментов для последующей эксплуатации . Они также воспользовались уязвимостью нулевого дня в Outlook для сбора учетных данных из целевых учетных записей и развернули сценарии Python для дальнейшего сбора учетных данных.

Кроме того, APT28 использовал скомпрометированные маршрутизаторы в целях управления и контроля, используя их в качестве инфраструктуры для бэкдора Python под названием MasePie. Группа использовала сложные методы, такие как установление обратных прокси-соединений и загрузка ключей SSH RSA для создания обратных туннелей SSH.

Для устранения угрозы в рекомендациях рекомендуется несколько мер по смягчению последствий, включая сброс настроек устройств до заводских, обновление встроенного ПО, изменение учетных данных по умолчанию и внедрение правил брандмауэра. Организациям и потребителям рекомендуется использовать предоставленные индикаторы компрометации (IoC) для обнаружения признаков заражения и принятия необходимых мер для предотвращения подобных компрометаций в будущем.

В целом, призыв правительства США к действию подчеркивает сохраняющуюся угрозу, исходящую от APT28, и важность защиты сетевой инфраструктуры от кибершпионажа .