Els EUA insta les organitzacions a netejar els encaminadors infectats pel grup de pirates informàtics APT28 de Rússia
El govern dels Estats Units ha pres recentment mesures contra una campanya de ciberespionatge realitzada pel grup rus APT28 , també conegut com Fancy Bear o Sednit . Després del desmantellament d'una botnet formada per encaminadors Ubiquiti, que estaven infectats amb programari maliciós anomenat " Moobot ", les autoritats demanen ara a organitzacions i persones a netejar els seus dispositius per donar suport als esforços d'interrupció.
Els encaminadors infectats, utilitzats principalment a la configuració de petites oficines/oficines a casa (SOHO), van ser compromesos pels ciberdelinqüents que van explotar les credencials predeterminades i els processos de servidor OpenSSH troianitzats associats amb Moobot. Aleshores, APT28 va obtenir el control d'aquests encaminadors, utilitzant-los per a operacions encobertes dirigides a diversos sectors d'Europa, Orient Mitjà i els EUA, inclosos l'aeroespacial, l'energia, el govern, la fabricació i la tecnologia.
Un cop dins dels encaminadors, els actors de l'APT28 van utilitzar diverses tàctiques, com ara la recollida de credencials, el proxy del trànsit de la xarxa i el desplegament d'eines de post-explotació personalitzades . També van aprofitar una vulnerabilitat de dia zero a Outlook per recollir credencials de comptes orientats i van desplegar scripts de Python per a una recol·lecció de credencials addicionals.
A més, APT28 va aprofitar els encaminadors compromesos amb finalitats de comandament i control, utilitzant-los com a infraestructura per a una porta posterior de Python anomenada MasePie. El grup va utilitzar tècniques sofisticades, com ara establir connexions de proxy inversos i carregar claus SSH RSA per establir túnels SSH inversos.
Per fer front a l'amenaça, l'avís recomana diverses mesures de mitigació, com ara el restabliment de fàbrica dels dispositius, l'actualització del microprogramari, el canvi de credencials predeterminades i la implementació de regles de tallafoc. Es recomana a les organitzacions i als consumidors que utilitzin els indicadors de compromís (IoC) proporcionats per detectar signes d'infecció i prendre les accions necessàries per evitar compromisos similars en el futur.
En general, la crida a l'acció del govern dels EUA subratlla l'amenaça contínua que suposa l'APT28 i la importància de protegir la infraestructura de xarxa per protegir-se de les activitats de ciberespionatge .