Resim: Midjourney
FBI, Rus askeri bilgisayar korsanlarının tespit edilmesinden kaçınmak için tehlikeye atılmış ubiquiti edgerouters kullandıklarını söylüyor.
Askeri Birim 26165 Cyberspies, Rusya'nın Genel Personel Ana İstihbarat Müdürlüğü (GRU) ve APT28 ve Fancy Bear olarak izlenen bu kaçırılmış ve çok popüler yönlendiricileri, kimlik bilgilerini çalmalarına yardımcı olan, NTLMV2 özetleri toplama ve proxy toplamalarına yardımcı olan kapsamlı botnetler oluşturmak için kullanıyor. kötü niyetli trafik.
Ayrıca, dünya çapında askerleri, hükümetleri ve diğer kuruluşları hedefleyen gizli siber operasyonlar boyunca özel araçlara ve kimlik avı açılış sayfalarına ev sahipliği yapmak için kullanılırlar.
Ortak Danışma, "Edgerouters genellikle varsayılan kimlik bilgileri ile gönderilir ve kablosuz internet servis sağlayıcılarını (WISPS) barındıracak güvenlik duvarı korumaları ile sınırlıdır."
"Ek olarak, Edgerouters, bir tüketici bunları yapılandırmadıkça ürün yazılımını otomatik olarak güncellemez."
Bu ayın başlarında, FBI, Rus hackleme grubunun daha sonra küresel erişimle bir siber casusluk aracı inşa etmek için yeniden tasarladığı APT28 ile bağlantılı olmayan siber suçlular tarafından Moobot kötü amaçlı yazılımlarla enfekte olmuş bir ubiquiti edgerouters botnetini bozdu.
Hacklenen yönlendiricileri araştırırken, FBI, Webmail kimlik bilgilerini çalmak için Python komut dosyaları, NTLMV2 sindirimlerini hasat etmek için tasarlanmış programlar ve özveri trafiğini otomatik olarak özel saldırı altyapısına yönlendiren özel yönlendirme kurallarını keşfetti.
Apt28, ilk çalışmaya başladıkları için birkaç yüksek profilli siber saldırıdan sorumlu olduğu görülen kötü şöhretli bir Rus hack grubudur.
Alman Federal Parlamentosu'nu (Deutscher Pempemestag) ihlal ettiler ve 2016 yılında ABD başkanlık seçimleri öncesinde Demokratik Kongre Kampanya Komitesi (DCCC) ve Demokratik Ulusal Komite (DNC) saldırılarının arkasında.
İki yıl sonra, APT28 üyeleri ABD'de DNC ve DCCC saldırılarına katılımlarından dolayı suçlandı. Avrupa Birliği Konseyi ayrıca Ekim 2020'de Alman Federal Parlamento Hack'e dahil oldukları için APT28 üyelerini onayladı.
Bugünün danışmanlığının arkasındaki FBI ve ortak ajansları, kötü amaçlı yazılım enfeksiyonundan kurtulmak ve APT28'in tehlikeye atılan yönlendiricilere erişimini engellemek için aşağıdaki önlemleri önerir:
FBI, bu tekniklerin daha fazla kullanılmasını önlemek ve sorumlu olanları sorumlu tutmak için saldırıya uğramış Edgerouters üzerindeki APT28 etkinliği hakkında bilgi arıyor.
Bu saldırılarla ilgili şüpheli veya cezai faaliyetleri yerel FBI saha ofisinize veya FBI'ın İnternet Suç Şikayet Merkezi'ne (IC3) bildirmelisiniz.
ABD ve İngiltere yetkilileri tarafından verilen ortak bir uyarı da altı yıl önce Nisan 2018'de Rus devlet destekli saldırganların ev ve işletme yönlendiricilerini aktif olarak hedefledikleri ve hacklediği konusunda uyardı.
Nisan 2018 Danışmanlığı'nın uyarıldığı gibi, Rus hackerlar tarihsel olarak casusluk kampanyalarını desteklemek, kurbanların ağlarına kalıcı erişimi sürdürmek ve diğer saldırgan operasyonlar için bir temel oluşturan internet yönlendirme ekipmanlarını ortadaki insan saldırılarında kullanmayı hedeflediler.
FBI, ubiquiti yönlendiricilerini enfekte eden Rus moobot botnet'i bozar
Rus hackerlar bulut saldırılarına geçer, ABD ve müttefikler uyarıyor
Rus askeri bilgisayar korsanları Ukrayna'yı yeni masepie kötü amaçlı yazılımlarla hedefleyin
FBI, CISA ABD hastanelerini hedeflenen Blackcat Fidye Yazılımı Saldırıları
ABD Govt, su kamu hizmetleri için siber saldırı savunma ipuçlarını paylaşıyor
Kaynak: Bleeping Computer