SHBA u kërkon organizatave të pastrojnë ruterat e infektuar nga grupi rus i hakerëve APT28

Qeveria amerikane ka ndërmarrë së fundmi një veprim kundër një fushate spiunazhi kibernetik të kryer nga grupi rus APT28 , i njohur gjithashtu si Fancy Bear ose Sednit . Pas çmontimit të një botneti të përbërë nga ruterë Ubiquiti, të cilët u infektuan me malware të quajtur " Moobot ", autoritetet tani po u bëjnë thirrje organizatave dhe individëve që të pastrojnë pajisjet e tyre për të mbështetur përpjekjet për ndërprerje.

Ruterët e infektuar, të përdorur kryesisht në mjediset e zyrës së vogël/zyrës në shtëpi (SOHO), u komprometuan nga kriminelët kibernetikë që shfrytëzuan kredencialet e paracaktuara dhe proceset e trojanizuara të serverit OpenSSH të lidhura me Moobot. APT28 më pas fitoi kontrollin mbi këta ruterë, duke i përdorur ato për operacione të fshehta që synojnë sektorë të ndryshëm në të gjithë Evropën, Lindjen e Mesme dhe SHBA, duke përfshirë hapësirën ajrore, energjinë, qeverinë, prodhimin dhe teknologjinë.

Pasi hynë në ruter, aktorët e APT28 përdorën taktika të ndryshme, duke përfshirë mbledhjen e kredencialeve, proksimin e trafikut të rrjetit dhe vendosjen e mjeteve të personalizuara të post-shfrytëzimit . Ata gjithashtu shfrytëzuan një cenueshmëri të ditës zero në Outlook për të mbledhur kredencialet nga llogaritë e synuara dhe vendosën skriptet Python për korrje të mëtejshme të kredencialeve.

Për më tepër, APT28 përdori ruterat e komprometuar për qëllime komandimi dhe kontrolli, duke i përdorur ato si infrastrukturë për një prapavijë të Python të quajtur MasePie. Grupi përdori teknika të sofistikuara si vendosja e lidhjeve me përfaqësues të kundërt dhe ngarkimi i çelësave SSH RSA për të krijuar tunele të kundërt SSH.

Për të adresuar kërcënimin, këshillimi rekomandon disa masa zbutëse, duke përfshirë rivendosjen e pajisjeve në fabrikë, përditësimin e firmuerit, ndryshimin e kredencialeve të paracaktuar dhe zbatimin e rregullave të murit të zjarrit. Organizatat dhe konsumatorët inkurajohen të përdorin treguesit e dhënë të kompromisit (IoCs) për të zbuluar shenjat e infeksionit dhe për të ndërmarrë veprimet e nevojshme për të parandaluar kompromise të ngjashme në të ardhmen.

Në përgjithësi, thirrja e qeverisë amerikane për veprim nënvizon kërcënimin e vazhdueshëm që paraqet APT28 dhe rëndësinë e sigurimit të infrastrukturës së rrjetit për t'u mbrojtur kundër aktiviteteve të spiunazhit kibernetik .