USA vyzývajú organizácie, aby vyčistili smerovače infikované ruskou skupinou hackerov APT28

Americká vláda nedávno zakročila proti kyberšpionážnej kampani, ktorú vedie ruská skupina APT28 , známa aj ako Fancy Bear alebo Sednit . Po demontáži botnetu pozostávajúceho zo smerovačov Ubiquiti, ktoré boli infikované škodlivým softvérom s názvom „ Moobot “, úrady teraz vyzývajú organizácie a jednotlivcov, aby vyčistili svoje zariadenia a podporili tak snahy o prerušenie.

Infikované smerovače, ktoré sa primárne používajú v nastaveniach malých kancelárií/domácich kancelárií (SOHO), boli napadnuté počítačovými zločincami, ktorí zneužili predvolené prihlasovacie údaje a trojanizované procesy servera OpenSSH spojené s Moobotom. APT28 potom získal kontrolu nad týmito smerovačmi a využíval ich na tajné operácie zamerané na rôzne sektory v Európe, na Strednom východe a v USA, vrátane letectva, energetiky, vlády, výroby a technológie.

Keď sa aktéri APT28 dostali do smerovačov, využili rôzne taktiky vrátane zhromažďovania poverení, proxy sieťovej prevádzky a nasadenia vlastných nástrojov po exploatácii . Využili tiež zraniteľnosť nultého dňa v programe Outlook na zhromažďovanie poverení z cieľových účtov a nasadili skripty Python na ďalšie získavanie poverení.

Okrem toho APT28 využil napadnuté smerovače na účely príkazov a ovládania a použil ich ako infraštruktúru pre zadné vrátka Pythonu s názvom MasePie. Skupina použila sofistikované techniky, ako je vytvorenie reverzných pripojení proxy a nahranie kľúčov SSH RSA na vytvorenie reverzných tunelov SSH.

Na vyriešenie hrozby odporúča odporúčanie niekoľko opatrení na zmiernenie, vrátane obnovenia továrenských nastavení zariadení, aktualizácie firmvéru, zmeny predvolených poverení a implementácie pravidiel brány firewall. Organizácie a spotrebitelia sa vyzývajú, aby využívali poskytnuté indikátory kompromisu (IoC) na zistenie príznakov infekcie a podnikli potrebné kroky na zabránenie podobným kompromisom v budúcnosti.

Výzva vlády USA na akciu vo všeobecnosti podčiarkuje pretrvávajúcu hrozbu, ktorú predstavuje APT28, a dôležitosť zabezpečenia sieťovej infraštruktúry na ochranu pred kyberšpionážnymi aktivitami .