Ρώσοι στρατιωτικοί χάκερ χρησιμοποιούν παραβιασμένους Ubiquiti EdgeRouters για να αποφύγουν τον εντοπισμό, λέει το FBI σε κοινή συμβουλευτική που εκδόθηκε με την NSA, την αμερικανική Διοίκηση Κυβερνοχώρου και διεθνείς εταίρους.
Οι κυβερνοκατάσκοποι της Στρατιωτικής Μονάδας 26165, μέρος της Κύριας Διεύθυνσης Πληροφοριών του Γενικού Επιτελείου (GRU) της Ρωσίας και παρακολουθούνται ως APT28 και Fancy Bear, χρησιμοποιούν αυτούς τους πειρατεμένους και πολύ δημοφιλείς δρομολογητές για να δημιουργήσουν εκτεταμένα botnet που τους βοηθούν να κλέβουν διαπιστευτήρια, να συλλέγουν συλλογές NTLMv2 και promote. κακόβουλης κυκλοφορίας.
Χρησιμοποιούνται επίσης για τη φιλοξενία προσαρμοσμένων εργαλείων και σελίδων προορισμού ηλεκτρονικού ψαρέματος (phishing) σε μυστικές
επιχειρήσεις
στον κυβερνοχώρο που στοχεύουν στρατούς, κυβερνήσεις και άλλους οργανισμούς παγκοσμίως.
“Τα EdgeRouters συχνά αποστέλλονται με προεπιλεγμένα διαπιστευτήρια και περιορίζονται σε καμία προστασία τείχους προστασίας για να φιλοξενήσουν παρόχους ασύρματων υπηρεσιών Διαδικτύου (WISP)”, η κοινή συμβουλευτική
προειδοποιεί
.
“Επιπλέον, το EdgeRouters δεν ενημερώνει αυτόματα το υλικολογισμικό, εκτός εάν κάποιος καταναλωτής το ρυθμίσει να το κάνει.”
Νωρίτερα αυτό το μήνα, το FBI διέκοψε ένα botnet των Ubiquiti EdgeRouters που είχε μολυνθεί με το
κακόβουλο λογισμικό
Moobot από εγκληματίες του κυβερνοχώρου που δεν συνδέονται με το APT28, το οποίο η ρωσική ομάδα hacking αργότερα επαναχρησιμοποίησε για να δημιουργήσει ένα εργαλείο κατασκοπείας στον κυβερνοχώρο με παγκόσμια εμβέλεια.
Κατά τη διερεύνηση των χακαρισμένων δρομολογητών, το FBI ανακάλυψε διάφορα εργαλεία και τεχνουργήματα APT28, συμπεριλαμβανομένων σεναρίων Python για κλοπή διαπιστευτηρίων
webmail
, προγραμμάτων σχεδιασμένων για τη συλλογή συλλογών NTLMv2 και προσαρμοσμένων κανόνων δρομολόγησης που ανακατευθύνουν αυτόματα την κυκλοφορία phishing σε αποκλειστική υποδομή επίθεσης.
Το
APT28 είναι μια διαβόητη ρωσική ομάδα χάκερ που βρέθηκε ότι είναι υπεύθυνη για πολλές επιθέσεις στον κυβερνοχώρο υψηλού προφίλ από τότε που άρχισαν να λειτουργούν
Παραβίασαν το Γερμανικό Ομοσπονδιακό Κοινοβούλιο (Deutscher Bundestag) και ήταν πίσω από τις επιθέσεις στην Επιτροπή Εκστρατείας του Δημοκρατικού Κογκρέσου (DCCC) και στην Εθνική Επιτροπή των Δημοκρατικών (DNC) πριν από τις προεδρικές εκλογές των
ΗΠΑ
το 2016.
Δύο χρόνια αργότερα, μέλη του APT28 κατηγορήθηκαν στις ΗΠΑ για τη συμμετοχή τους στις επιθέσεις DNC και DCCC. Το Συμβούλιο της Ευρωπαϊκής Ένωσης επέβαλε επίσης κυρώσεις στα μέλη της APT28 τον Οκτώβριο του 2020 για την εμπλοκή τους στο hack του γερμανικού ομοσπονδιακού κοινοβουλίου.
Πώς να «αναβιώσετε» τα παραβιασμένα Ubiquiti EdgeRouters
Το FBI και οι συνεργαζόμενες υπηρεσίες πίσω από τη σημερινή συμβουλευτική συνιστούν τα ακόλουθα μέτρα για να απαλλαγείτε από τη μόλυνση από κακόβουλο λογισμικό και να αποκλείσετε την πρόσβαση του APT28 σε παραβιασμένους δρομολογητές:
- Εκτελέστε επαναφορά εργοστασιακών ρυθμίσεων υλικού για να ξεπλύνετε συστήματα αρχείων κακόβουλων αρχείων
- Αναβάθμιση στην πιο πρόσφατη έκδοση υλικολογισμικού
- Αλλάξτε τυχόν προεπιλεγμένα ονόματα χρήστη και κωδικούς πρόσβασης και
- Εφαρμόστε στρατηγικούς κανόνες τείχους προστασίας στις διεπαφές της πλευράς WAN για να αποτρέψετε την ανεπιθύμητη έκθεση σε υπηρεσίες απομακρυσμένης διαχείρισης.
Το FBI αναζητά πληροφορίες σχετικά με τη δραστηριότητα του APT28 σε παραβιασμένους EdgeRouters για να αποτρέψει την περαιτέρω χρήση αυτών των τεχνικών και να φέρει τους υπεύθυνους υπεύθυνους.
Θα πρέπει να αναφέρετε τυχόν ύποπτες ή εγκληματικές δραστηριότητες που σχετίζονται με αυτές τις επιθέσεις στο τοπικό σας γραφείο του FBI ή στο Κέντρο Παραπόνων Διαδικτύου του FBI (IC3).
Μια κοινή προειδοποίηση που εκδόθηκε από τις αρχές των ΗΠΑ και του Ηνωμένου Βασιλείου προειδοποίησε επίσης πριν από έξι χρόνια, τον Απρίλιο του 2018, ότι οι ρωσικοί επιτιθέμενοι που υποστηρίζονται από το κράτος στοχεύουν ενεργά και παραβιάζουν δρομολογητές οικιών και επιχειρήσεων.
Όπως προειδοποιούσε η συμβουλευτική του Απριλίου 2018, Ρώσοι χάκερ έχουν στοχεύσει ιστορικά εξοπλισμό δρομολόγησης Διαδικτύου για χρήση σε επιθέσεις man-in-the-middle για υποστήριξη εκστρατειών κατασκοπείας, διατηρώντας επίμονη πρόσβαση στα δίκτυα των θυμάτων και θέτουν τα θεμέλια για άλλες επιθετικές επιχειρήσεις.
VIA:
bleepingcomputer.com
