Hinihimok ng US ang Mga Organisasyon na Linisin ang Mga Router na Naimpeksyon ng APT28 Hacker Group ng Russia
Ang gobyerno ng US ay nagsagawa kamakailan ng aksyon laban sa isang cyberespionage campaign na isinagawa ng Russian APT28 group, na kilala rin bilang Fancy Bear o Sednit . Kasunod ng pagbuwag sa isang botnet na binubuo ng mga Ubiquiti router, na nahawahan ng malware na tinawag na ' Moobot ', hinihimok na ngayon ng mga awtoridad ang mga organisasyon at indibidwal na linisin ang kanilang mga device upang suportahan ang mga pagsisikap sa pagkagambala.
Ang mga nahawaang router, na pangunahing ginagamit sa mga setting ng maliit na opisina/home office (SOHO), ay nakompromiso ng mga cybercriminal na nagsamantala sa mga default na kredensyal at nag-trojan ng mga proseso ng OpenSSH server na nauugnay sa Moobot. Pagkatapos ay nakuha ng APT28 ang kontrol sa mga router na ito, na ginagamit ang mga ito para sa mga lihim na operasyon na nagta-target sa iba't ibang sektor sa buong Europe, Middle East, at US, kabilang ang aerospace, enerhiya, gobyerno, pagmamanupaktura, at teknolohiya.
Sa sandaling nasa loob na ng mga router, gumamit ang mga aktor ng APT28 ng iba't ibang taktika, kabilang ang pagkolekta ng mga kredensyal, pag-proxy ng trapiko sa network, at pag-deploy ng mga custom na tool sa post-exploitation . Sinamantala rin nila ang isang zero-day na kahinaan sa Outlook upang mangolekta ng mga kredensyal mula sa mga naka-target na account at nag-deploy ng mga script ng Python para sa karagdagang pag-aani ng kredensyal.
Higit pa rito, ginamit ng APT28 ang mga nakompromisong router para sa mga layunin ng command-and-control, gamit ang mga ito bilang imprastraktura para sa isang Python backdoor na tinatawag na MasePie. Gumamit ang grupo ng mga sopistikadong pamamaraan tulad ng pagtatatag ng mga reverse proxy na koneksyon at pag-upload ng mga SSH RSA key upang magtatag ng mga reverse SSH tunnel.
Upang matugunan ang banta, inirerekomenda ng advisory ang ilang mga hakbang sa pagpapagaan, kabilang ang mga factory resetting device, pag-update ng firmware, pagbabago ng mga default na kredensyal, at pagpapatupad ng mga panuntunan sa firewall. Hinihikayat ang mga organisasyon at consumer na gamitin ang mga ibinigay na indicators of compromise (IoCs) para makita ang mga senyales ng impeksyon at gumawa ng mga kinakailangang aksyon para maiwasan ang mga katulad na kompromiso sa hinaharap.
Sa pangkalahatan, binibigyang-diin ng panawagan ng gobyerno ng US na kumilos ang patuloy na banta na dulot ng APT28 at ang kahalagahan ng pag-secure ng imprastraktura ng network upang maprotektahan laban sa mga aktibidad ng cyberespionage .