Die USA fordern Organisationen dringend auf, von der russischen Hackergruppe APT28 infizierte Router zu bereinigen

Die US-Regierung ist kürzlich gegen eine Cyberspionagekampagne der russischen APT28- Gruppe, auch bekannt als Fancy Bear oder Sednit , vorgegangen. Nach der Zerschlagung eines Botnetzes bestehend aus Ubiquiti-Routern, die mit Malware namens „ Moobot “ infiziert waren, fordern die Behörden nun Organisationen und Einzelpersonen auf, ihre Geräte zu bereinigen, um die Störungsbemühungen zu unterstützen.

Die infizierten Router, die hauptsächlich in kleinen Büros/Heimbüros (SOHO) eingesetzt werden, wurden von Cyberkriminellen kompromittiert, die Standardanmeldeinformationen ausnutzten und mit Moobot verbundene OpenSSH-Serverprozesse trojanisierten. APT28 erlangte dann die Kontrolle über diese Router und nutzte sie für verdeckte Operationen, die auf verschiedene Sektoren in Europa, dem Nahen Osten und den USA abzielten, darunter Luft- und Raumfahrt, Energie, Regierung, Fertigung und Technologie.

Sobald sich die APT28-Akteure in den Routern befanden, nutzten sie verschiedene Taktiken, darunter das Sammeln von Anmeldeinformationen, die Weiterleitung des Netzwerkverkehrs als Proxy und den Einsatz benutzerdefinierter Post-Exploitation-Tools . Sie nutzten außerdem eine Zero-Day-Schwachstelle in Outlook aus, um Anmeldeinformationen von Zielkonten zu sammeln, und setzten Python-Skripte für die weitere Erfassung von Anmeldeinformationen ein.

Darüber hinaus nutzte APT28 die kompromittierten Router für Befehls- und Kontrollzwecke und nutzte sie als Infrastruktur für eine Python-Hintertür namens MasePie. Die Gruppe nutzte ausgefeilte Techniken wie den Aufbau von Reverse-Proxy-Verbindungen und das Hochladen von SSH-RSA-Schlüsseln, um Reverse-SSH-Tunnel einzurichten.

Um der Bedrohung zu begegnen, empfiehlt die Empfehlung mehrere Abhilfemaßnahmen, darunter das Zurücksetzen von Geräten auf die Werkseinstellungen, das Aktualisieren der Firmware, das Ändern von Standardanmeldeinformationen und die Implementierung von Firewall-Regeln. Organisationen und Verbraucher werden aufgefordert, die bereitgestellten Kompromittierungsindikatoren (IoCs) zu nutzen, um Anzeichen einer Infektion zu erkennen und die erforderlichen Maßnahmen zu ergreifen, um ähnliche Kompromittierungen in Zukunft zu verhindern.

Insgesamt unterstreicht der Aufruf der US-Regierung zum Handeln die anhaltende Bedrohung durch APT28 und die Bedeutung der Sicherung der Netzwerkinfrastruktur zum Schutz vor Cyberspionageaktivitäten .