Tehdit aktörleri, ağ trafiğine yetkisiz erişim sağlamak için yönlendiricileri ele geçirir. Bu onların hassas bilgileri izlemesine, değiştirmesine veya ele geçirmesine olanak tanır.
Bunun yanı sıra, gizlice dinleme, veri hırsızlığı ve çok daha fazlası gibi çeşitli kötü amaçlı faaliyetlerin yürütülmesi de kolaylaşır.
FBI, NSA, ABD Siber Komutanlığı ve aralarında Belçika, Brezilya, Fransa, Almanya, Letonya, Litvanya, Norveç, Polonya, Güney Kore ve Birleşik Krallık’ın yetkililerinin de bulunduğu uluslararası ortaklardaki siber güvenlik araştırmacıları, yakın zamanda Rus bilgisayar korsanlarının (APT28, Fancy Bear ve Forest Blizzard (Strontium), proxy ağ saldırılarını gerçekleştirmek için aktif olarak Ubiquiti yönlendiricilerini ele geçiriyor.
GRU botnet’ini bozmak için gerekli tüm güvenlik önlemleri alınırken, cihaz sahiplerinin kalıcı koruma için gerekli adımları atmaları istendi.
Hackerlar Ubiquiti Yönlendiricilerini Ele Geçirdi
APT28’in (Fancy Bear) arkasındaki tehdit aktörleri kimlik bilgileri hırsızlığı, NTLMv2 özetleri, proxy kullanımı ve hedef odaklı kimlik avı için yönlendiricileri hedef alıyor.
GRU botnet’ini bozmak için gerekli tüm güvenlik önlemleri alınmış olsa da cihaz sahiplerinin kalıcı koruma için gerekli adımları atmaları istendi.
Bu danışma belgesi, APT28’in EdgeRouter tehdidine karşı taktikler, göstergeler ve öneriler sunar. Kullanıcılardan, etki azaltma adımlarını derhal uygulamaları istenmektedir.
EdgeRouter’lar, varsayılan güvenlik önlemlerinin ve otomatik güncellemelerin bulunmaması nedeniyle hem kullanıcılar hem de bilgisayar korsanları tarafından tercih edilmektedir.
APT28, 2022’den beri küresel siber operasyonlar için saldırıya uğramış EdgeRouter’ları kullanıyor. Ancak FBI, APT28 erişimli yönlendiricilerin Moobot botnet tarafından tehlikeye atıldığını, Bash komut dosyalarını ve OpenSSH arka kapılarından yararlanan ELF ikili dosyalarını barındırdığını tespit etti.
Bir FBI araştırması, APT28’in Outlook’tan NTLMv2 özetlerini toplamak için 2022’den itibaren sıfır gün (CVE-2023-23397) kullandığını tespit etti. Microsoft’un yamasına rağmen APT28, özetleri sızdırmak için onu kullanmaya devam etti.
NTLM geçiş saldırıları ve hileli kimlik doğrulama sunucuları için saldırıya uğramış Ubiquiti yönlendiricilerinde Impacket ntlmrelayx.py ve Responder’ı kullandılar. Yönlendirici erişimiyle APT28, kötü niyetli eylemler için Linux sistemlerinde gizlice çalışır.
Bu CSA, kullanıcıların etkileri kontrol etmesine yardımcı olduğundan FBI, EdgeRouters’ta Moobot OpenSSH truva atını ve APT28 IOC’lerini paylaşıyor. APT28, yönlendiricileri ihlal etmek için varsayılan kimlik bilgilerini kullandı ve OpenSSH’yi truva atı haline getirdi.
Moobot, IoT cihazlarına zayıf şifreler aracılığıyla bulaşan Mirai tabanlı bir botnet’tir. APT28 meşru ikili dosyaları truva atı haline getirilmiş olanlarla değiştirerek kimlik doğrulamanın atlanmasına olanak sağladı.
EdgeRouters’taki kötü amaçlı dosyalar için packinstall’dan indirilenler için Bash geçmişlerini kontrol ettiğinizden emin olun.[.]kozov[.]com’a gidin, ardından bu etki alanına giden ağ trafiğini inceleyin ve sağlanan dosya karma tablosuna bakın.
Bunun yanı sıra, /usr/lib/libu.a/ dosyasının varlığı olası bir enfeksiyona işaret ediyor.
EdgeRouters’taki OpenSSH truva atı, kötü niyetli kullanıcılar systemd ve systemx’i ekler, /etc/resolv.conf dosyasını değiştirir ve .kworker adında aldatıcı bir kullanıcı-arazi işlemi sunar.
Burada savunucular, FBI tarafından tanımlanan alan adlarına olan bağlantıları kontrol edebilir ve belirli bir formu izleyerek HTTP işaretçilerini arayabilir.
Aşağıda tanımlanan tüm alanlardan bahsettik: –
- matematik[.]Evet[.]iletişim
- lalapok[.]kozov[.]iletişim
- Gneivaientga[.]görmezden gelinen liste[.]iletişim
- antitelant[.]çalışma bilgisayarı[.]iletişim
- Bir seçim[.]neşe[.]iletişim
- mumucnc[.]kozov[.]iletişim
Azaltmalar
Yeniden başlatma, EdgeRouter kötü amaçlı yazılımını ortadan kaldırmaz ve bu sorun nedeniyle FBI, güvenlik uzmanları tarafından sağlanan azaltıcı önlemlerin izlenmesini tavsiye etti: –
- Fabrika ayarları
- Ürün yazılımını güncelle
- Varsayılan kimlik bilgilerini değiştir
- WAN tarafı güvenlik duvarı kurallarını ayarlayın
- Outlook’u güncelleyin
- NTLM’yi devre dışı bırakın veya NTLM geçiş savunması için sunucu imzalamayı etkinleştirin.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.