Gli Stati Uniti sollecitano le organizzazioni a ripulire i router infettati dal gruppo hacker russo APT28

Il governo degli Stati Uniti è recentemente intervenuto contro una campagna di cyberspionaggio condotta dal gruppo russo APT28 , noto anche come Fancy Bear o Sednit . In seguito allo smantellamento di una botnet composta da router Ubiquiti, infettati dal malware denominato " Moobot ", le autorità stanno ora esortando le organizzazioni e gli individui a ripulire i propri dispositivi per supportare gli sforzi di interruzione.

I router infetti, utilizzati principalmente in ambienti SOHO (piccoli uffici/uffici domestici), sono stati compromessi dai criminali informatici che hanno sfruttato le credenziali predefinite e hanno trojanizzato i processi del server OpenSSH associati a Moobot. APT28 ha quindi acquisito il controllo su questi router, utilizzandoli per operazioni segrete rivolte a vari settori in Europa, Medio Oriente e Stati Uniti, tra cui aerospaziale, energetico, governativo, manifatturiero e tecnologico.

Una volta all’interno dei router, gli autori di APT28 hanno utilizzato varie tattiche, tra cui la raccolta di credenziali, l’inoltro del traffico di rete e l’implementazione di strumenti post-sfruttamento personalizzati . Hanno inoltre sfruttato una vulnerabilità zero-day in Outlook per raccogliere credenziali da account presi di mira e hanno distribuito script Python per un’ulteriore raccolta di credenziali.

Inoltre, APT28 ha sfruttato i router compromessi per scopi di comando e controllo, utilizzandoli come infrastruttura per una backdoor Python chiamata MasePie. Il gruppo ha utilizzato tecniche sofisticate come la creazione di connessioni proxy inverse e il caricamento di chiavi RSA SSH per stabilire tunnel SSH inversi.

Per affrontare la minaccia, l’avviso raccomanda diverse misure di mitigazione, tra cui il ripristino dei dispositivi di fabbrica, l’aggiornamento del firmware, la modifica delle credenziali predefinite e l’implementazione delle regole del firewall. Le organizzazioni e i consumatori sono incoraggiati a utilizzare gli indicatori di compromissione (IoC) forniti per rilevare segni di infezione e intraprendere le azioni necessarie per prevenire compromissioni simili in futuro.

Nel complesso, l’appello all’azione del governo degli Stati Uniti sottolinea la continua minaccia rappresentata dall’APT28 e l’importanza di proteggere l’infrastruttura di rete per proteggersi dalle attività di spionaggio informatico .