ABD, Kuruluşlara Rusya'nın APT28 Hacker Grubunun Etkilediği Yönlendiricileri Temizleme Çağrısında Bulundu

ABD hükümeti yakın zamanda Fancy Bear veya Sednit olarak da bilinen Rus APT28 grubu tarafından yürütülen bir siber casusluk kampanyasına karşı harekete geçti. ' Moobot ' adı verilen kötü amaçlı yazılımların bulaştığı Ubiquiti yönlendiricilerinden oluşan bir botnet'in ortadan kaldırılmasının ardından yetkililer, artık kuruluşlara ve bireylere, kesinti çabalarını desteklemek için cihazlarını temizlemeleri yönünde çağrıda bulunuyor.

Çoğunlukla küçük ofis/ev ofisi (SOHO) ayarlarında kullanılan virüslü yönlendiricilerin güvenliği, varsayılan kimlik bilgilerinden yararlanan ve Moobot ile ilişkili OpenSSH sunucu işlemlerini truva atı haline getiren siber suçlular tarafından ele geçirildi. APT28 daha sonra bu yönlendiricilerin kontrolünü ele geçirdi ve bunları havacılık, enerji, hükümet, imalat ve teknoloji dahil olmak üzere Avrupa, Orta Doğu ve ABD'deki çeşitli sektörleri hedef alan gizli operasyonlar için kullandı.

Yönlendiricilerin içine girdikten sonra APT28 aktörleri, kimlik bilgilerini toplamak, ağ trafiğini proxy olarak kullanmak ve özel istismar sonrası araçları dağıtmak dahil olmak üzere çeşitli taktikler kullandı. Ayrıca, hedeflenen hesaplardan kimlik bilgileri toplamak için Outlook'taki sıfır gün güvenlik açığından yararlandılar ve daha fazla kimlik bilgisi toplamak için Python komut dosyalarını dağıttılar.

Ayrıca APT28, güvenliği ihlal edilmiş yönlendiricileri komuta ve kontrol amacıyla kullandı ve bunları MasePie adı verilen bir Python arka kapısı için altyapı olarak kullandı. Grup, ters SSH tünelleri oluşturmak için ters proxy bağlantıları kurmak ve SSH RSA anahtarlarını yüklemek gibi karmaşık teknikler kullandı.

Tehdidi ele almak için danışma belgesinde, cihazların fabrika ayarlarına sıfırlanması, ürün yazılımının güncellenmesi, varsayılan kimlik bilgilerinin değiştirilmesi ve güvenlik duvarı kurallarının uygulanması dahil olmak üzere çeşitli hafifletme önlemleri önerilmektedir. Kuruluşların ve tüketicilerin, enfeksiyon belirtilerini tespit etmek ve gelecekte benzer riskleri önlemek için gerekli önlemleri almak için sağlanan güvenlik ihlali göstergelerini (IoC'ler) kullanmaları teşvik edilmektedir.

Genel olarak, ABD hükümetinin eylem çağrısı, APT28'in oluşturduğu devam eden tehdidin ve siber casusluk faaliyetlerine karşı koruma sağlamak için ağ altyapısının güvenliğinin sağlanmasının öneminin altını çiziyor.