США закликають організації очистити маршрутизатори, заражені російською групою хакерів APT28

Нещодавно уряд США вжив заходів проти кампанії кібершпигунства, яку проводить російська група APT28 , також відома як Fancy Bear або Sednit . Після демонтажу ботнету, що складається з маршрутизаторів Ubiquiti, які були заражені зловмисним програмним забезпеченням під назвою « Moobot », влада закликає організації та окремих осіб очистити свої пристрої, щоб підтримати спроби зриву.

Заражені маршрутизатори, які в основному використовуються в невеликих офісах/домашніх офісах (SOHO), були скомпрометовані кіберзлочинцями, які використовували облікові дані за замовчуванням і троянізували серверні процеси OpenSSH, пов’язані з Moobot. Потім APT28 отримав контроль над цими маршрутизаторами, використовуючи їх для таємних операцій, націлених на різні сектори Європи, Близького Сходу та США, включаючи аерокосмічну, енергетичну, державну, виробничу та технологічну.

Опинившись усередині маршрутизаторів, учасники APT28 використовували різні тактики, включаючи збір облікових даних, проксі-сервер мережевого трафіку та розгортання спеціальних інструментів після експлуатації . Вони також використали вразливість нульового дня в Outlook для збору облікових даних із цільових облікових записів і розгорнули сценарії Python для подальшого збору облікових даних.

Крім того, APT28 використовував скомпрометовані маршрутизатори для командно-контрольних цілей, використовуючи їх як інфраструктуру для бекдору Python під назвою MasePie. Група використовувала такі складні методи, як встановлення зворотних проксі-з’єднань і завантаження ключів SSH RSA для встановлення зворотних тунелів SSH.

Щоб усунути загрозу, консультація рекомендує кілька заходів для її пом’якшення, включаючи скидання пристроїв до заводських налаштувань, оновлення мікропрограми, зміну облікових даних за замовчуванням і впровадження правил брандмауера. Організаціям і споживачам рекомендується використовувати надані індикатори компрометації (IoC), щоб виявити ознаки зараження та вжити необхідних заходів для запобігання подібним компрометаціям у майбутньому.

Загалом заклик уряду США до дій підкреслює постійну загрозу, яку створює APT28, і важливість захисту мережевої інфраструктури для захисту від кібершпигунства .