САД позивају организације да очисте рутере заражене руском хакерском групом АПТ28

Америчка влада је недавно предузела акцију против кампање сајбер шпијунаже коју спроводи руска група АПТ28 , такође позната као Фанци Беар или Седнит . Након демонтаже ботнета који се састоји од Убикуити рутера, који су били заражени малвером названим „ Мообот “, власти сада позивају организације и појединце да очисте своје уређаје како би подржали напоре за прекид.

Заражени рутери, који се првенствено користе у подешавањима малих канцеларија/кућне канцеларије (СОХО), били су компромитовани од стране сајбер криминалаца који су искористили подразумеване акредитиве и тројанизирали ОпенССХ серверске процесе повезане са Мообот-ом. АПТ28 је затим добио контролу над овим рутерима, користећи их за тајне операције усмерене на различите секторе широм Европе, Блиског истока и САД, укључујући ваздухопловство, енергетику, владу, производњу и технологију.

Једном у рутерима, АПТ28 актери су користили различите тактике, укључујући прикупљање акредитива, прокси мрежни саобраћај и примену прилагођених алата за пост-експлоатацију . Такође су искористили рањивост нултог дана у Оутлоок-у за прикупљање акредитива са циљаних налога и применили Питхон скрипте за даље прикупљање акредитива.

Штавише, АПТ28 је искористио компромитоване рутере у сврхе командовања и контроле, користећи их као инфраструктуру за Питхон бацкдоор под називом МасеПие. Група је користила софистициране технике као што је успостављање реверзних прокси веза и учитавање ССХ РСА кључева за успостављање реверзних ССХ тунела.

Да би се решила претња, саветодавац препоручује неколико мера за ублажавање, укључујући уређаје за враћање на фабричка подешавања, ажурирање фирмвера, промену подразумеваних акредитива и примену правила заштитног зида. Организације и потрошачи се подстичу да користе обезбеђене индикаторе компромиса (ИоЦс) да открију знаке инфекције и предузму неопходне радње како би спречили сличне компромисе у будућности.

Све у свему, позив америчке владе на акцију наглашава сталну претњу коју представља АПТ28 и важност обезбеђивања мрежне инфраструктуре ради заштите од активности сајбер шпијунаже .