AS Gesa Organisasi Bersihkan Penghala yang Dijangkiti Kumpulan Penggodam APT28 Rusia

Kerajaan AS baru-baru ini telah mengambil tindakan terhadap kempen pengintipan siber yang dijalankan oleh kumpulan APT28 Rusia, juga dikenali sebagai Fancy Bear atau Sednit . Berikutan pembongkaran botnet yang terdiri daripada penghala Ubiquiti, yang dijangkiti perisian hasad yang digelar ' Moobot ', pihak berkuasa kini menggesa organisasi dan individu untuk membersihkan peranti mereka bagi menyokong usaha gangguan.

Penghala yang dijangkiti, terutamanya digunakan dalam tetapan pejabat kecil/pejabat rumah (SOHO), telah dikompromi oleh penjenayah siber yang mengeksploitasi kelayakan lalai dan proses pelayan OpenSSH yang dirojan yang dikaitkan dengan Moobot. APT28 kemudiannya memperoleh kawalan ke atas penghala ini, menggunakannya untuk operasi rahsia yang menyasarkan pelbagai sektor di seluruh Eropah, Timur Tengah dan AS, termasuk aeroangkasa, tenaga, kerajaan, pembuatan dan teknologi.

Apabila berada di dalam penghala, pelakon APT28 menggunakan pelbagai taktik, termasuk mengumpul bukti kelayakan, memproksi trafik rangkaian dan menggunakan alatan pasca eksploitasi tersuai . Mereka juga mengeksploitasi kerentanan sifar hari dalam Outlook untuk mengumpul bukti kelayakan daripada akaun yang disasarkan dan menggunakan skrip Python untuk penuaian kelayakan selanjutnya.

Tambahan pula, APT28 memanfaatkan penghala yang dikompromi untuk tujuan arahan dan kawalan, menggunakannya sebagai infrastruktur untuk pintu belakang Python yang dipanggil MasePie. Kumpulan itu menggunakan teknik canggih seperti mewujudkan sambungan proksi terbalik dan memuat naik kunci SSH RSA untuk mewujudkan terowong SSH terbalik.

Untuk menangani ancaman itu, nasihat mengesyorkan beberapa langkah mitigasi, termasuk peranti tetapan semula kilang, mengemas kini perisian tegar, menukar kelayakan lalai dan melaksanakan peraturan tembok api. Organisasi dan pengguna digalakkan untuk menggunakan penunjuk kompromi (IoC) yang disediakan untuk mengesan tanda jangkitan dan mengambil tindakan yang perlu untuk mencegah kompromi yang serupa pada masa hadapan.

Secara keseluruhannya, gesaan kerajaan AS untuk bertindak menggariskan ancaman berterusan yang ditimbulkan oleh APT28 dan kepentingan mendapatkan infrastruktur rangkaian untuk melindungi daripada aktiviti pengintipan siber .