Amerikalı yetkililer, Ubiquiti’nin EdgeRouter ürünlerinin kullanıcılarını, APT28 ve Forest Blizzard/Strontium olarak da bilinen Rus devlet tehdit aktörü Fancy Bear tarafından hedef alınma riski altında olabilecekleri konusunda uyardı.
Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) ve Belçika, Brezilya, Fransa, Almanya, Letonya, Litvanya, Norveç, Polonya ve Güney Kore’deki muadillerinin de dahil olduğu ortak kuruluşların da imza attığı koordineli bir danışma belgesinde FBI, Ulusal Güvenlik Ajans (NSA) ve ABD Siber Komutanlığı, etkilenen ürünlerin kullanıcılarını dikkatli olmaya çağırdı.
“Fancy Bear ve Forest Blizzard (Strontium), kimlik bilgilerini toplamak, NTLMv2 özetlerini, proxy ağ trafiğini toplamak ve hedef odaklı kimlik avı açılış sayfalarını ve özel araçları barındırmak için dünya çapında güvenliği ihlal edilmiş EdgeRouter’ları kullandı”, uyarısını okuyun.
EdgeRouters kullanıcılarına fabrika ayarlarına sıfırlama yapmaları, en son ürün yazılımı sürümüne yükseltmeleri, varsayılan kullanıcı adlarını ve kimlik bilgilerini değiştirmeleri ve WAN tarafı arayüzlerinde stratejik güvenlik duvarı kuralları uygulamaları söylendi.
Ubiquiti EdgeRouter’lar, kullanıcı dostu, Linux tabanlı işletim sistemi sayesinde hem kullanıcılar hem de tehdit aktörleri arasında popüler hale geldi. Ne yazık ki, aynı zamanda son derece tehlikeli iki kusur da içeriyorlar; cihazlar genellikle varsayılan kimlik bilgileriyle birlikte geliyor ve sınırlı güvenlik duvarı korumasına sahipler ve kullanıcı bunları yapılandırmadıkça donanım yazılımlarını otomatik olarak güncellemiyorlar.
Fancy Bear, kurbanların kimlik bilgilerini toplamak, özetleri toplamak, proxy ağ trafiğini toplamak ve hedef odaklı kimlik avı açılış sayfalarını ve diğer özel araçları barındırmak için güvenliği ihlal edilmiş yönlendiriciler kullanıyor. Operasyonun hedefleri arasında Ukrayna da dahil olmak üzere Rus istihbaratının ilgilendiği birçok ülkede bulunan akademik ve araştırma kurumları, elçilikler, savunma yüklenicileri ve siyasi partiler yer alıyor.
NSA siber güvenlik direktörü Rob Joyce, “Sistemin hiçbir parçası tehditlere karşı bağışık değildir” dedi. “Gördüğümüz gibi, saldırganlar sunuculardaki, yazılımlardaki, sistemlere bağlanan cihazlardaki, kullanıcı kimlik bilgilerindeki güvenlik açıklarından çeşitli şekillerde yararlandı. Şimdi, Rus devleti destekli siber aktörlerin ele geçirilen yönlendiricileri kötüye kullandığını görüyoruz ve biz de bu CSA’ya etki azaltma önerileri sunmak için katılıyoruz.”
Tavsiye belgesinin derlendiği araştırmaya katkıda bulunan Mandiant Siber Casusluk Analizi yöneticisi Dan Black şunları söyledi: “Mandiant, ortaklarımızla işbirliği içinde, son iki yılda küresel olarak casusluk yapmak için güvenliği ihlal edilmiş yönlendiriciler kullanarak APT28’i izledi. Bu cihazlar, grubun kimlik bilgilerini çalma ve çeşitli sektörlerdeki hükümetlere ve kritik altyapı operatörlerine kötü amaçlı yazılım dağıtma çabalarının merkezinde yer alıyor.
“APT28’in faaliyetleri, gelecekteki operasyonlarını gerçekleştirmek için ağ cihazlarından yararlanan Rus ve ÇHC tehdit aktörlerinin daha geniş bir modelinin karakteristik özelliğidir. Bunları, radarın altında kalarak hedeflenen ağlara giden ve hedeflenen ağlardan gelen trafiği proxy olarak kullanmak için kullanıyorlar.”
FBI/NSA duyurusu, ABD Adalet Bakanlığı’nın (DoJ), varsayılan şifreleri hiçbir zaman değiştirilmemiş olan Ubiquiti EdgeRouter’lardan oluşan bir botnet’i kitlesel olarak kaldırmasını organize etmesinden ancak iki hafta sonra geldi. komut dosyaları ve dosyalar ve savunmasız yönlendiricileri siber casusluk kampanyalarındaki varlıklara çeviriyor.
Ağ cihazlarını bu tür taktiklerden uzaklaştırma riskine ilişkin daha fazla kanıta ihtiyaç duyulursa, Ocak 2024’teki benzer bir operasyonda, Çin destekli Volt Typhoon tehdit aktörü tarafından oluşturulan ve yüzlerce Cisco ve Netgear markalı küçük ve Netgear’ı gören bir botnet’in koordineli olarak yayından kaldırıldığı görüldü. KV Botnet olarak bilinen bir kötü amaçlı yazılım bulaşmış ev ofisi yönlendiricilerine. Bu şekilde Çin, ABD ve diğer yerlerdeki kritik ulusal altyapı operatörlerine karşı gerçekleştirilen hacklemelerin kaynağı olduğu gerçeğini gizlemeyi başardı.