JAV ragina organizacijas išvalyti maršrutizatorius, užkrėstus Rusijos APT28 įsilaužėlių grupės

JAV vyriausybė neseniai ėmėsi veiksmų prieš kibernetinio šnipinėjimo kampaniją, kurią vykdo Rusijos APT28 grupė, dar žinoma kaip „Fancy Bear“ arba „Sednit“ . Išardžius botnetą, sudarytą iš Ubiquiti maršrutizatorių, kurie buvo užkrėsti kenkėjiška programa, pavadinta „ Moobot “, valdžios institucijos dabar ragina organizacijas ir asmenis išvalyti savo įrenginius, kad padėtų trikdžių pastangoms.

Užkrėstus maršrutizatorius, daugiausia naudojamus mažo biuro/namų biuro (SOHO) nustatymuose, sugadino kibernetiniai nusikaltėliai, kurie išnaudojo numatytuosius kredencialus ir trojanizavo OpenSSH serverio procesus, susijusius su Moobot. Tada APT28 įgijo šių maršrutizatorių kontrolę ir panaudojo juos slaptoms operacijoms, nukreiptoms į įvairius sektorius visoje Europoje, Viduriniuose Rytuose ir JAV, įskaitant aviaciją, energetiką, vyriausybę, gamybą ir technologijas.

Patekę į maršrutizatorius, APT28 dalyviai naudojo įvairias taktikas, įskaitant kredencialų rinkimą, tarpinio serverio tinklo srautą ir tinkintų po išnaudojimo įrankių diegimą . Jie taip pat išnaudojo nulinės dienos „Outlook“ pažeidžiamumą, kad rinktų kredencialus iš tikslinių paskyrų ir įdiegė Python scenarijus tolesniam kredencialų rinkimui.

Be to, APT28 panaudojo pažeistus maršrutizatorius komandų ir valdymo tikslais, naudodamas juos kaip „Python“ užpakalinių durų, vadinamų MasePie, infrastruktūrą. Grupė naudojo sudėtingus metodus, tokius kaip atvirkštinio tarpinio serverio jungčių nustatymas ir SSH RSA raktų įkėlimas atvirkštiniams SSH tuneliams sukurti.

Siekiant pašalinti grėsmę, patarime rekomenduojamos kelios mažinimo priemonės, įskaitant įrenginių gamyklinių nustatymų atkūrimą, programinės aparatinės įrangos atnaujinimą, numatytųjų kredencialų keitimą ir ugniasienės taisyklių įgyvendinimą. Organizacijos ir vartotojai raginami naudoti pateiktus kompromiso rodiklius (IoC), kad aptiktų infekcijos požymius ir imtųsi reikiamų veiksmų, kad būtų išvengta panašių kompromisų ateityje.

Apskritai JAV vyriausybės raginimas imtis veiksmų pabrėžia nuolatinę APT28 keliamą grėsmę ir tinklo infrastruktūros saugos svarbą siekiant apsisaugoti nuo kibernetinio šnipinėjimo veiklos .