FBI, NSA, ABD Siber Komutanlığı ve uluslararası ortaklarla birlikte yayınladığı ortak bildiride, Rus askeri bilgisayar korsanlarının tespit edilmekten kaçınmak için ele geçirilen Ubiquiti EdgeRouter’ları kullandığını söylüyor.
Rusya’nın Genelkurmay Ana İstihbarat Müdürlüğü’nün (GRU) bir parçası olan ve APT28 ve Fancy Bear olarak takip edilen Askeri Birim 26165 siber casusları, ele geçirilen bu çok popüler yönlendiricileri, kimlik bilgilerini çalmalarına, NTLMv2 özetlerini toplamalarına ve proxy oluşturmalarına yardımcı olan kapsamlı botnet’ler oluşturmak için kullanıyor. kötü niyetli trafik.
Ayrıca dünya çapındaki orduları, hükümetleri ve diğer kuruluşları hedef alan gizli siber operasyonlar sırasında özel araçları ve kimlik avı açılış sayfalarını barındırmak için de kullanılıyorlar.
Ortak danışma belgesinde, “EdgeRouter’lar genellikle varsayılan kimlik bilgileriyle birlikte gönderilir ve kablosuz internet servis sağlayıcılarını (WISP’ler) barındırmak için hiçbir güvenlik duvarı korumasıyla sınırlı değildir” diye uyarıyor.
“Ayrıca EdgeRouter’lar, tüketici tarafından yapılandırılmadığı sürece ürün yazılımını otomatik olarak güncellemez.”
Bu ayın başlarında FBI, APT28 ile bağlantısı olmayan siber suçlular tarafından Moobot kötü amaçlı yazılımı bulaşmış Ubiquiti EdgeRouter’ların botnet’ini bozdu ve Rus bilgisayar korsanlığı grubu daha sonra küresel erişime sahip bir siber casusluk aracı oluşturmak üzere yeniden tasarladı.
Saldırıya uğramış yönlendiricileri araştırırken FBI, web postası kimlik bilgilerini çalmak için Python komut dosyaları, NTLMv2 özetlerini toplamak için tasarlanmış programlar ve kimlik avı trafiğini otomatik olarak özel saldırı altyapısına yönlendiren özel yönlendirme kuralları dahil olmak üzere çeşitli APT28 araçlarını ve yapıtlarını keşfetti.
APT28, ilk faaliyete geçtiğinden bu yana birçok yüksek profilli siber saldırıdan sorumlu olduğu tespit edilen kötü şöhretli bir Rus bilgisayar korsanlığı grubudur.
Alman Federal Parlamentosunu (Deutscher Bundestag) ihlal ettiler ve 2016 ABD Başkanlık Seçimi öncesinde Demokratik Kongre Kampanya Komitesine (DCCC) ve Demokratik Ulusal Komiteye (DNC) yönelik saldırıların arkasındaydılar.
İki yıl sonra, APT28 üyeleri ABD’de DNC ve DCCC saldırılarına katılmakla suçlandı. Avrupa Birliği Konseyi ayrıca Ekim 2020’de APT28 üyelerine Alman Federal Parlamentosu hacklenmesine karıştıkları için yaptırım uyguladı.
Ele geçirilen Ubiquiti EdgeRouters nasıl ‘canlandırılır’
Bugünkü tavsiyenin arkasındaki FBI ve ortak kurumlar, kötü amaçlı yazılım bulaşmasından kurtulmak ve APT28’in güvenliği ihlal edilmiş yönlendiricilere erişimini engellemek için aşağıdaki önlemleri önermektedir:
- Dosya sistemlerini kötü amaçlı dosyalardan temizlemek için donanım fabrika ayarlarına sıfırlama yapın
- En son ürün yazılımı sürümüne yükseltin
- Varsayılan kullanıcı adlarını ve şifreleri değiştirin ve
- Uzaktan yönetim hizmetlerine istenmeyen maruz kalmayı önlemek için WAN tarafı arayüzlerine stratejik güvenlik duvarı kuralları uygulayın.
FBI, bu tekniklerin daha fazla kullanılmasını önlemek ve sorumluları sorumlu tutmak için saldırıya uğramış EdgeRouter’lar üzerindeki APT28 etkinliği hakkında bilgi arıyor.
Bu saldırılarla ilgili tüm şüpheli veya suç teşkil eden faaliyetleri yerel FBI saha ofisinize veya FBI’ın İnternet Suçları Şikayet Merkezine (IC3) bildirmelisiniz.
ABD ve İngiltere yetkilileri tarafından yayınlanan ortak bir uyarıda, altı yıl önce Nisan 2018’de, Rus devleti destekli saldırganların aktif olarak ev ve kurumsal yönlendiricileri hedef aldığı ve hacklediği konusunda uyarıda bulunulmuştu.
Nisan 2018 tarihli danışma belgesinde de belirtildiği gibi, Rus bilgisayar korsanları geçmişte casusluk kampanyalarını desteklemek, kurbanların ağlarına kalıcı erişimi sürdürmek ve diğer saldırı operasyonları için temel oluşturmak amacıyla ortadaki adam saldırılarında kullanmak üzere İnternet yönlendirme ekipmanlarını hedef almışlardı.