USA wzywają organizacje do oczyszczenia routerów zainfekowanych przez rosyjską grupę hakerów APT28

Rząd USA podjął niedawno działania przeciwko kampanii cyberszpiegowskiej prowadzonej przez rosyjską grupę APT28 , znaną również jako Fancy Bear lub Sednit . Po likwidacji botnetu składającego się z routerów Ubiquiti, które zostały zainfekowane złośliwym oprogramowaniem o nazwie „ Moobot ”, władze wzywają obecnie organizacje i osoby prywatne do wyczyszczenia swoich urządzeń, aby wesprzeć wysiłki mające na celu zakłócanie działania sieci.

Zainfekowane routery, używane głównie w małych biurach/biurach domowych (SOHO), zostały skompromitowane przez cyberprzestępców, którzy wykorzystali domyślne dane uwierzytelniające i trojanizowali procesy serwera OpenSSH powiązane z Moobotem. Następnie APT28 przejął kontrolę nad tymi routerami, wykorzystując je do tajnych operacji ukierunkowanych na różne sektory w Europie, na Bliskim Wschodzie i w USA, w tym lotniczy i kosmiczny, energetyczny, rządowy, produkcyjny i technologiczny.

Po wejściu do routerów aktorzy APT28 stosowali różne taktyki, w tym zbieranie danych uwierzytelniających, pośredniczenie w ruchu sieciowym i wdrażanie niestandardowych narzędzi po eksploitacji . Wykorzystali także lukę dnia zerowego w programie Outlook do gromadzenia danych uwierzytelniających z docelowych kont i wdrożyli skrypty w języku Python w celu dalszego gromadzenia danych uwierzytelniających.

Co więcej, APT28 wykorzystał zaatakowane routery do celów dowodzenia i kontroli, wykorzystując je jako infrastrukturę dla backdoora Pythona o nazwie MasePie. Grupa zastosowała zaawansowane techniki, takie jak ustanawianie połączeń odwrotnego proxy i przesyłanie kluczy SSH RSA w celu ustanowienia tuneli zwrotnego SSH.

Aby zaradzić temu zagrożeniu, w poradniku zaleca się kilka środków zaradczych, w tym przywracanie ustawień fabrycznych urządzeń, aktualizację oprogramowania sprzętowego, zmianę domyślnych poświadczeń i wdrożenie reguł zapory sieciowej. Zachęca się organizacje i konsumentów do wykorzystywania dostarczonych wskaźników kompromisu (IoC) w celu wykrywania oznak infekcji i podejmowania niezbędnych działań, aby zapobiec podobnym kompromisom w przyszłości.

Ogólnie rzecz biorąc, wezwanie rządu USA do działania podkreśla ciągłe zagrożenie stwarzane przez APT28 oraz znaczenie zabezpieczenia infrastruktury sieciowej w celu ochrony przed działaniami cyberszpiegowskimi .