ФБР закликає власників Ubiquiti EdgeRouters перевірити своє обладнання на наявність ознак того, що його зламали та використовують для приховування поточних зловмисних операцій російські хакери, повідомляє Bleeping Computer.
У повідомленні сказано, що хакери використовують заражені маршрутизатори щонайменше з 2022 року для сприяння таємним операціям проти урядів, військових і організацій по всьому світу: в Україні, Чехії, Італії, Литві, Йорданії, Чорногорії, Польщі, Словаччині, Туреччині, ОАЕ та США.
Окрім державних органів, хакери націлені на аерокосмічну й оборонну промисловість, освіту, енергетику та комунальні послуги, готельний бізнес, виробництво, нафту та газ, роздрібну торгівлю, технології й транспорт. Хакери атакують також фізичних осіб в Україні.
Маршрутизатори Ubiquiti EdgeRouters є ідеальною ціллю для хакерів. Це недороге обладнання, яке використовується в будинках і невеликих офісах і працює на Linux.
Кібершпигуни під керівництвом російських спецслужб, які відстежуються як група APT28 і Fancy Bear, використовують ці популярні маршрутизатори для створення великих ботнетів, які допомагають їм викрадати облікові дані, збирати дайджести NTLMv2.
Маршрутизатори також використовуються для розміщення спеціальних інструментів і фішингових цільових сторінок під час таємних кібероперацій, націлених на армію, уряди й інші організації по всьому світу.
«EdgeRouters часто постачаються з обліковими даними за замовчуванням і обмежені захистом брандмауера для роботи з постачальниками послуг бездротового Інтернету (WISP). Крім того, EdgeRouters не оновлюють мікропрограму автоматично, якщо користувач не налаштує це», – попереджає ФБР.
Раніше цього місяця ФБР зламало ботнет Ubiquiti EdgeRouters, заражений шкідливим програмним забезпеченням. Під час розслідування зламаних маршрутизаторів було виявлено різноманітні інструменти й артефакти APT28. В тому числі сценарії Python для викрадення облікових даних вебпошти, програми, призначені для збору дайджестів NTLMv2, і спеціальні правила маршрутизації, які автоматично перенаправляли фішинговий трафік на спеціальну інфраструктуру атак.
Як «оживити» захоплені Ubiquiti EdgeRouters
ФБР і партнерські агентства рекомендують здійснювати певні заходи, щоб позбутися зараження зловмисним програмним забезпеченням і заблокувати доступ APT28 до скомпрометованих маршрутизаторів:
- Виконайте скидання апаратного забезпечення до заводських налаштувань, щоб очистити файлові системи від шкідливих файлів.
- Оновіть мікропрограму до останньої версії.
- Змініть будь-які стандартні імена користувачів і паролі.
- Застосуйте стратегічні правила брандмауера на інтерфейсах WAN, щоб запобігти небажаному впливу служб віддаленого керування.
ФБР шукає інформацію про діяльність APT28 на зламаних EdgeRouters, щоб запобігти подальшому використанню цих методів і притягнути винних осіб до відповідальності.
Раніше ми повідомляли, що російська військова хакерська група APT28 використовувала експлойти нульового дня Microsoft Outlook для націлювання на кілька європейських країн – членів НАТО, а також Корпус швидкого розгортання НАТО.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
