U novom zajedničkom savjetu, sajber-sigurnosne i obavještajne agencije iz SAD-a i drugih zemalja pozivaju korisnike Ubiquiti EdgeRoutera da preduzmu zaštitne mjere, nekoliko sedmica nakon što je botnet koji se sastoji od zaraženih rutera uklonjen od strane organa za provođenje zakona u sklopu operacije kodnog naziva Dying Ember.
Navodi se da je botnet, nazvan MooBot, koristio haker povezan s Rusijom poznat kao APT28 kako bi olakšao tajne sajber operacije i izbacio prilagođeni malver za daljnju eksploataciju. Poznato je da je APT28, povezan s ruskom Glavnom upravom Generalštaba (GRU), aktivan najmanje od 2007. godine.
APT28 hakeri su “koristili kompromitovane EdgeRoutere globalno za prikupljanje kredencijala, prikupljanje NTLMv2 sažetaka, proxy mrežnog prometa i hostinga odredišnih stranica i prilagođenih alata za krađu identiteta”, kažu vlasti.
Protivnikova upotreba EdgeRoutersa datira još od 2022. godine, a napadi su usmjereni na avijaciju i odbranu, obrazovanje, energetiku i komunalne usluge, vlade, ugostiteljstvo, proizvodnju, naftu i plin, maloprodaju, tehnologiju i sektore transporta u Češkoj Republici, Italiji, Litvaniji, Jordanu, Crnoj Gori, Poljskoj, Slovačkoj, Turskoj, Ukrajinai, UAE-u i SAD-u.
MooBot napadi podrazumevaju ciljanje rutera sa podrazumjevanim ili slabim akreditivima za postavljanje OpenSSH trojanaca, pri čemu APT28 dobija ovaj pristup za isporuku bash skripte i drugih ELF binarnih datoteka za prikupljanje akreditiva, proxy mrežnog saobraćaja, host phishing stranica i drugih alata.
Ovo uključuje Python skripte za učitavanje kredencijala naloga koji pripadaju posebno ciljanim korisnicima web pošte, a koji se prikupljaju putem skriptiranja na više lokacija i kampanja za krađu identiteta pretraživača u pretraživaču (BitB).
APT28 je također povezan s iskorištavanjem CVE-2023-23397 (CVSS rezultat: 9,8), sada zakrpljene kritične greške u eskalaciji privilegija u Microsoft Outlooku koja bi mogla omogućiti krađu NT LAN Manager-a (NTLM) heševa i pokrenuti relejni napad bez potrebe za bilo kakvom korisničkom interakcijom.
Još jedan alat u njegovom arsenalu malvera je MASEPIE, Python backdoor sposoban da izvršava proizvoljne komande na mašinama žrtve koristeći kompromitovane Ubiquiti EdgeRoutere kao komandnu i kontrolnu (C2) infrastrukturu.
“Sa root pristupom kompromitovanim Ubiquiti EdgeRouterima, APT28 hakeri imaju neometan pristup operativnim sistemima baziranim na Linuxu za instaliranje alata i obfuskaciju svog identiteta dok provode zlonamjerne kampanje”, napominju agencije.
Organizacijama se preporučuje da izvrše resetovanje hardvera na fabrička podešavanja rutera kako bi sisteme datoteka očistili od zlonamernih datoteka, nadogradili na najnoviju verziju firmvera, promijenili podrazumjevane kredencijale i primjenili firewall pravila kako bi spriječili izlaganje servisa udaljenog upravljanja.
Otkrića su znak da se državni hakeri sve više oslanjaju na rutere kao lansirnu podlogu za napade, koristeći ih za kreiranje botneta kao što su VPNFilter, Cyclops Blink i KV-botnet i vršenje svojih zlonamjernih aktivnosti.
Bilten stiže dan nakon što su nacije Five Eyes prozvale APT29 – grupu prijetnji koja je povezana s ruskom stranom obavještajnom službom (SVR) i entitetom koji stoji iza napada na SolarWinds, Microsoft i HPE – da koristi servisne naloge i neaktivne račune za pristup cloud okruženjima u ciljnim organizacijama.
Izvor: The Hacker News