USA uppmanar organisationer att rensa upp routrar infekterade av Rysslands APT28 Hacker Group

Den amerikanska regeringen har nyligen vidtagit åtgärder mot en cyberspionagekampanj utförd av den ryska APT28- gruppen, även känd som Fancy Bear eller Sednit . Efter nedmonteringen av ett botnät bestående av Ubiquiti-routrar, som var infekterade med skadlig programvara kallad ' Moobot ', uppmanar myndigheterna nu organisationer och individer att rensa upp sina enheter för att stödja störningsansträngningarna.

De infekterade routrarna, som främst används i små kontor/hemmakontor (SOHO), äventyrades av cyberbrottslingar som utnyttjade standarduppgifter och trojaniserade OpenSSH-serverprocesser associerade med Moobot. APT28 fick sedan kontroll över dessa routrar och använde dem för hemliga operationer riktade mot olika sektorer i Europa, Mellanöstern och USA, inklusive flyg, energi, myndigheter, tillverkning och teknik.

Väl inne i routrarna använde APT28-aktörer olika taktiker, inklusive att samla in referenser, proxyservera nätverkstrafik och distribuera anpassade verktyg efter exploatering . De utnyttjade också en nolldagarssårbarhet i Outlook för att samla in autentiseringsuppgifter från riktade konton och distribuerade Python-skript för ytterligare insamling av autentiseringsuppgifter.

Dessutom utnyttjade APT28 de komprometterade routrarna för kommando- och kontrolländamål, och använde dem som infrastruktur för en Python-bakdörr som heter MasePie. Gruppen använde sofistikerade tekniker som att upprätta omvända proxyanslutningar och ladda upp SSH RSA-nycklar för att upprätta omvända SSH-tunnlar.

För att ta itu med hotet rekommenderar rådgivandet flera begränsningsåtgärder, inklusive fabriksåterställning av enheter, uppdatering av firmware, ändring av standardreferenser och implementering av brandväggsregler. Organisationer och konsumenter uppmuntras att använda tillhandahållna kompromissindikatorer (IoCs) för att upptäcka tecken på infektion och vidta nödvändiga åtgärder för att förhindra liknande kompromisser i framtiden.

Sammantaget understryker den amerikanska regeringens uppmaning till handling det pågående hotet från APT28 och vikten av att säkra nätverksinfrastruktur för att skydda mot cyberspionageaktiviteter .