ZDA pozivajo organizacije, naj očistijo usmerjevalnike, ki jih je okužila ruska hekerska skupina APT28

Ameriška vlada je nedavno ukrepala proti kampanji kibernetskega vohunjenja, ki jo izvaja ruska skupina APT28 , znana tudi kot Fancy Bear ali Sednit . Po razgradnji botneta, sestavljenega iz usmerjevalnikov Ubiquiti, ki so bili okuženi z zlonamerno programsko opremo, imenovano " Moobot ", oblasti zdaj pozivajo organizacije in posameznike, naj očistijo svoje naprave, da bi podprli prizadevanja za motnjo.

Okužene usmerjevalnike, ki se uporabljajo predvsem v nastavitvah malih pisarn/domačih pisarn (SOHO), so ogrozili kibernetski kriminalci, ki so izrabili privzete poverilnice in trojanizirali strežniške procese OpenSSH, povezane z Moobotom. APT28 je nato prevzel nadzor nad temi usmerjevalniki in jih uporabil za tajne operacije, usmerjene v različne sektorje po Evropi, na Bližnjem vzhodu in v ZDA, vključno z vesoljstvom, energijo, vlado, proizvodnjo in tehnologijo.

Ko so akterji APT28 vstopili v usmerjevalnike, so uporabili različne taktike, vključno z zbiranjem poverilnic, proxyjem omrežnega prometa in uvajanjem orodij po meri po izkoriščanju . Izkoristili so tudi ranljivost zero-day v Outlooku za zbiranje poverilnic iz ciljnih računov in uvedli skripte Python za nadaljnje zbiranje poverilnic.

Poleg tega je APT28 izkoristil ogrožene usmerjevalnike za namene ukazovanja in nadzora ter jih uporabil kot infrastrukturo za stranska vrata Python, imenovano MasePie. Skupina je uporabila sofisticirane tehnike, kot je vzpostavljanje povratnih proxy povezav in nalaganje ključev SSH RSA za vzpostavitev povratnih tunelov SSH.

Za obravnavo grožnje svetovanje priporoča več ukrepov za ublažitev, vključno s ponastavitvijo naprav na tovarniške nastavitve, posodabljanjem vdelane programske opreme, spreminjanjem privzetih poverilnic in izvajanjem pravil požarnega zidu. Organizacije in potrošnike spodbujamo, da uporabijo navedene indikatorje ogroženosti (IoC) za odkrivanje znakov okužbe in sprejmejo potrebne ukrepe za preprečitev podobnih ogroženosti v prihodnosti.

Na splošno poziv vlade ZDA k ukrepanju poudarja stalno grožnjo, ki jo predstavlja APT28, in pomen varovanja omrežne infrastrukture za zaščito pred dejavnostmi kibernetskega vohunjenja .