Rusii militari hackeri folosesc routere Ubiquiti compromise pentru a evita detectarea, spune FBI intr-un avertisment comun emis cu NSA, U.S. Cyber Command si parteneri internationali.
Unitatea militara 26165 de spioni cibernetici, parte a Directiei Principale de Informatii a Statului Major General al Rusiei (GRU) si urmariti ca APT28 si Fancy Bear, folosesc aceste routere hijacked si foarte populare pentru a construi botnet-uri extinse care ii ajuta sa fure credentiale, sa colecteze digestii NTLMv2 si sa faca proxy la traficul malefic.
Ele sunt de asemenea folosite pentru a gazdui instrumente personalizate si pagini de phishing pe parcursul operatiunilor cibernetice secrete care vizeaza armate, guverne si alte organizatii la nivel mondial.
„Routerele Edge sunt adesea livrate cu credentiale implicite si cu protectii limitate sau deloc de firewall pentru a se adapta furnizorilor de servicii internet wireless (WISPs),” avertizeaza avertismentul comun.
„In plus, routerele Edge nu se actualizeaza automat pana cand un consumator le configureaza sa faca acest lucru.”
Mai devreme in acest luna, FBI a disrupt un botnet de routere Ubiquiti Edge infectate cu malware-ul Moobot de catre cybercriminali care nu sunt legati de APT28 si pe care grupul de hacking rus l-a refolosit ulterior pentru a construi un instrument de spionaj cibernetic cu o acoperire globala.
In timp ce investigau routerele hackuite, FBI-ul a descoperit diverse instrumente si artefacte APT28, inclusiv scripturi Python pentru furtul de credentiale de webmail, programe concepute pentru a colecta digestii NTLMv2 si reguli de rutare personalizate care redirectionau automat traficul de phishing catre infrastructura dedicata de atac.
APT28 este un grup de hacking rus notoriu gasit vinovat pentru mai multe atacuri cibernetice de inalta profil de cand au inceput sa opereze.
Au spart Parlamentul Federal German (Deutscher Bundestag) si au fost in spatele atacurilor asupra Comitetului Campaniei Congresului Democratic (DCCC) si Comitetului National Democratic (DNC) inainte de Alegerile Presedintiale din SUA din 2016.
Doi ani mai tarziu, membrii APT28 au fost acuzati in SUA pentru implicarea lor in atacurile asupra DNC si DCCC. Consiliul Uniunii Europene a si sanctionat membrii APT28 in octombrie 2020 pentru implicarea lor in hack-ul Parlamentului Federal German.
FBI-ul si agentiile partenere din spatele avertismentului de astazi recomanda urmatoarele masuri pentru a scapa de infectia cu malware si pentru a bloca accesul APT28 la routerele compromise:
FBI-ul cauta informatii despre activitatea APT28 pe routerele Edge hackuite pentru a preveni utilizarea ulterioara a acestor tehnici si pentru a trage la raspundere pe cei responsabili.
Ar trebui sa raportati orice activitati suspecte sau criminale legate de aceste atacuri la biroul local al FBI-ului sau la Centrul de Plangeri cu privire la Criminalitatea pe Internet al FBI-ului (IC3).
Un avertisment comun emis de autoritatile SUA si UK a avertizat acum sase ani, in aprilie 2018, ca atacatorii sprijiniti de statul rus hackuiau activ routerele de acasa si de enterprise.
Asa cum a avertizat avertismentul din aprilie 2018, hackerii rusi au vizat istoric echipamentele de rutare de internet pentru a le folosi in atacuri de tip man-in-the-middle in sprijinul campaniilor de spionaj, pentru a mentine acces persistent la retelele victimelor si a pune bazele pentru alte operatiuni ofensive.
FBI-ul disrups botnetul Moobot rus infectand routere Ubiquiti
Hackerii rusi trec la atacuri in cloud, SUA si aliatii avertizeaza
Hackerii militari rusi vizeaza Ucraina cu noul malware MASEPIE
Guvernul SUA impartaseste sfaturi de aparare impotriva cibertacurilor pentru utilitatile de apa
Guvernul SUA dezvaluie mai multe atacuri de ransomware asupra plantelor de apa
Leave a Reply