Os EUA Pedem que Organizações Limpem Roteadores Infectados pelo Grupo de Hackers APT28 da Rússia

O governo dos EUA tomou recentemente medidas contra uma campanha de ciberespionagem conduzida pelo grupo russo APT28, também conhecido como Fancy Bear ou S. Após o desmantelamento de uma botnet composta por routers Ubiquiti, que foram infectados com malware apelidado de ' Moobot, as autoridades estão agora a apelar às organizações e aos indivíduos para limparem os seus dispositivos para apoiar os esforços de disrupção.

Os roteadores infectados, usados principalmente em ambientes de pequenos escritórios/escritórios domésticos (SOHO), foram comprometidos por cibercriminosos que exploraram credenciais padrão e trojanizaram processos de servidor OpenSSH associados ao Moobot. O APT28 ganhou então controle sobre esses roteadores, utilizando-os para operações secretas visando vários setores na Europa, no Oriente Médio e nos EUA, incluindo aeroespacial, energia, governo, manufatura e tecnologia.

Uma vez dentro dos roteadores, os atores do APT28 utilizaram várias táticas, incluindo coleta de credenciais, proxy do tráfego de rede e implantação de ferramentas pós-exploração personalizadas. Eles também exploraram uma vulnerabilidade de dia zero no Outlook para coletar credenciais de contas direcionadas e implantaram scripts Python para coleta adicional de credenciais.

Além disso, o APT28 aproveitou os roteadores comprometidos para fins de comando e controle, usando-os como infraestrutura para um backdoor Python chamado MasePie. O grupo empregou técnicas sofisticadas, como estabelecer conexões de proxy reverso e carregar chaves SSH RSA para estabelecer túneis SSH reversos.

Para enfrentar a ameaça, o comunicado recomenda várias medidas de mitigação, incluindo redefinição de fábrica de dispositivos, atualização de firmware, alteração de credenciais padrão e implementação de regras de firewall. As organizações e os consumidores são incentivados a utilizar os indicadores de compromisso (IoCs) fornecidos para detectar sinais de infecção e tomar as medidas necessárias para evitar compromissos semelhantes no futuro.

No geral, o apelo à acção do governo dos EUA sublinha a ameaça contínua representada pelo APT28 e a importância de proteger a infra-estrutura de rede para proteger contra actividades de ciberespionagem.