Multi-License Discount Quote
Computer Security Hoa Kỳ kêu gọi các tổ chức dọn sạch các bộ định tuyến bị...

Hoa Kỳ kêu gọi các tổ chức dọn sạch các bộ định tuyến bị lây nhiễm bởi Nhóm hacker APT28 của Nga

Đến năm Mura năm Computer Security
Dịch sang:
Tiếng Việt Nam

Chính phủ Hoa Kỳ gần đây đã có hành động chống lại một chiến dịch gián điệp mạng do nhóm APT28 của Nga, còn được gọi là Fancy Bear hoặc Sednit , thực hiện. Sau khi dỡ bỏ một mạng botnet bao gồm các bộ định tuyến Ubiquiti bị nhiễm phần mềm độc hại có tên là ' Mobot ', các nhà chức trách hiện đang kêu gọi các tổ chức và cá nhân dọn sạch thiết bị của họ để hỗ trợ các nỗ lực ngăn chặn.

Các bộ định tuyến bị nhiễm, chủ yếu được sử dụng trong cài đặt văn phòng nhỏ/văn phòng tại nhà (SOHO), đã bị tội phạm mạng xâm phạm, những kẻ khai thác thông tin xác thực mặc định và trojan hóa các quy trình máy chủ OpenSSH được liên kết với Moobot. APT28 sau đó đã giành quyền kiểm soát các bộ định tuyến này, sử dụng chúng cho các hoạt động bí mật nhắm vào các lĩnh vực khác nhau trên khắp Châu Âu, Trung Đông và Hoa Kỳ, bao gồm hàng không vũ trụ, năng lượng, chính phủ, sản xuất và công nghệ.

Khi ở bên trong bộ định tuyến, kẻ tấn công APT28 đã sử dụng nhiều chiến thuật khác nhau, bao gồm thu thập thông tin xác thực, ủy quyền lưu lượng truy cập mạng và triển khai các công cụ tùy chỉnh sau khai thác . Họ cũng khai thác lỗ hổng zero-day trong Outlook để thu thập thông tin xác thực từ các tài khoản được nhắm mục tiêu và triển khai các tập lệnh Python để thu thập thêm thông tin xác thực.

Hơn nữa, APT28 đã lợi dụng các bộ định tuyến bị xâm nhập cho mục đích ra lệnh và kiểm soát, sử dụng chúng làm cơ sở hạ tầng cho cửa hậu Python có tên MasePie. Nhóm đã sử dụng các kỹ thuật phức tạp như thiết lập kết nối proxy ngược và tải lên các khóa SSH RSA để thiết lập các đường hầm SSH ngược.

Để giải quyết mối đe dọa, khuyến nghị khuyến nghị một số biện pháp giảm thiểu, bao gồm khôi phục cài đặt gốc cho thiết bị, cập nhật chương trình cơ sở, thay đổi thông tin xác thực mặc định và triển khai các quy tắc tường lửa. Các tổ chức và người tiêu dùng được khuyến khích sử dụng các chỉ báo xâm phạm (IoC) được cung cấp để phát hiện các dấu hiệu lây nhiễm và thực hiện các hành động cần thiết để ngăn chặn các hành vi xâm phạm tương tự trong tương lai.

Nhìn chung, lời kêu gọi hành động của chính phủ Hoa Kỳ nhấn mạnh mối đe dọa đang diễn ra do APT28 gây ra và tầm quan trọng của việc bảo mật cơ sở hạ tầng mạng để bảo vệ khỏi các hoạt động gián điệp mạng .

Đang tải...