FBI, Ulusal Güvenlik Ajansı ve ABD Siber Komutanlığı liderliğindeki güvenlik kurumları, devlet destekli Rus aktörlerin Ubiquiti’nin EdgeRouter ürünlerine yönelik koordineli saldırılara öncülük ettiği konusunda uyarıyor.
APT28 (diğer adıyla Fancy Bear, Forest Blizzard veya Strontium) saldırganları, kimlik bilgilerini toplamak, NTLMv2 özetlerini, proxy ağ trafiğini toplamak ve hedef odaklı kimlik avı açılış sayfalarını ve özel araçları barındırmak için dünyanın her yerindeki EdgeRouter’lardan yararlanır. [pdf] uyarıyor.
Tavsiye belgesi, EdgeRouter cihazının küresel popülaritesine dikkat çekiyor.
EdgeRouters’ın “genellikle varsayılan kimlik bilgileriyle birlikte gönderildiği ve kablosuz internet servis sağlayıcılarını (WISP’ler) barındırmak için hiçbir güvenlik duvarı korumasıyla sınırlı olmadığı” belirtildi.
“Ayrıca EdgeRouter’lar, tüketici tarafından yapılandırılmadığı sürece cihaz yazılımını otomatik olarak güncellemez.”
APT28’in en azından 2022’nin başından beri istismar edilen cihazları kullandığı belirtildi.
APT28, saldırılarında, varsayılan kimlik bilgileri gibi güvenlik açıkları yoluyla enfeksiyona yol açan, genellikle Mirai tabanlı Moobot botnet’iyle ilişkilendirilen truva atı haline getirilmiş OpenSSH sunucu işlemlerini kullanıyor.
Danışmanlık, saldırganların “çalınan web posta hesabı kimlik bilgilerini toplamak ve doğrulamak” için ele geçirilen cihazlara özel Python komut dosyaları yüklediğini söyledi.
Güvenliği ihlal edilen EdgeRouter’lardan bazıları, MASEPIE arka kapılarını dağıtmak için bir komuta ve kontrol altyapısı oluşturmak üzere de görevlendiriliyor.
MASEPIE, kurban makinelerde komutları da çalıştırabilen küçük bir Python arka kapısıdır. APT28 bunu Aralık 2023’te yazdı.
Öneri belgesinde listelenen azaltıcı önlemler arasında, etkilenen yönlendiricinin fabrika ayarlarına sıfırlanması, en son ürün yazılımı sürümüne yükseltme, tüm varsayılan kimlik bilgilerinin değiştirilmesi ve yönetim hizmetlerinin korunmasını engellemek için güvenlik duvarı kurallarının kullanılması yer alır.