Το FBI, η NSA, η Διοίκηση Κυβερνοχώρου των ΗΠΑ και διεθνείς εταίροι προειδοποιούν ότι οι Ρώσοι στρατιωτικοί hackers APT28 χρησιμοποιούν παραβιασμένους Ubiquiti EdgeRouters για επιθέσεις.
Οι Ρώσοι hackers APT28 – κυβερνοκατάσκοποι της Στρατιωτικής Μονάδας 26165 (μέρος του Main Intelligence Directorate of the General Staff – GRU) χρησιμοποιούν αυτούς τους routers για να δημιουργήσουν εκτεταμένα botnet που τους βοηθούν να κλέβουν credentials, να συλλέγουν NTLMv2 digests και να διακινούν κακόβουλο traffic.
Επίσης, οι hackers χρησιμοποιούν τους routers για τη φιλοξενία εργαλείων και σελίδων phishing, για επιθέσεις που στοχεύουν στρατούς, κυβερνήσεις και άλλους οργανισμούς παγκοσμίως.
Δείτε επίσης: Το FBI “κατέρριψε” το Moobot botnet που χρησιμοποιούνταν από Ρώσους hackers
“Οι Ubiquiti EdgeRouters συχνά αποστέλλονται με προεπιλεγμένα διαπιστευτήρια και δεν διαθέτουν καμία προστασία firewall“, προειδοποιούν οι υπηρεσίες.
Επίσης, δεν γίνεται αυτόματη ενημέρωση του firmware. Οι χρήστες πρέπει να κάνουν την ενημέρωση manually.
Νωρίτερα αυτό το μήνα, το FBI διέκοψε ένα botnet που αποτελούνταν από Ubiquiti EdgeRouters, που είχαν μολυνθεί με το κακόβουλο λογισμικό Moobot. Η αρχική μόλυνση είχε γίνει από άλλους hackers, αλλά οι Ρώσοι hackers APT28 το επαναχρησιμοποίησαν αργότερα για να δημιουργήσουν ένα εργαλείο κατασκοπείας.
Κατά τη διερεύνηση των χακαρισμένων routers, το FBI ανακάλυψε διάφορα εργαλεία της APT28, συμπεριλαμβανομένων Python scripts για κλοπή webmail credentials, προγραμμάτων σχεδιασμένων για τη συλλογή NTLMv2 digests και προσαρμοσμένων routing rules που ανακατευθύνουν αυτόματα το phishing traffic σε υποδομή επίθεσης.
Δείτε επίσης: Το Glupteba botnet αποφεύγει την ανίχνευση με ένα UEFI Bootkit
Οι Ρώσοι hackers APT28 έχουν συνδεθεί με πολλές επιθέσεις σε σημαντικούς οργανισμούς. Για παράδειγμα, είχαν παραβιάσει το Γερμανικό Ομοσπονδιακό Κοινοβούλιο (Deutscher Bundestag), την Democratic Congressional Campaign Committee (DCCC) και την Democratic National Committee (DNC) πριν από τις προεδρικές εκλογές των ΗΠΑ το 2016.
Ubiquiti EdgeRouters: Πώς να τους “σώσετε”;
Το FBI και οι συνεργαζόμενες υπηρεσίες συνιστούν τα ακόλουθα μέτρα για να απαλλάξετε τους routers από το malware και να αποκλείσετε την πρόσβαση των Ρώσων hackers APT28:
- Εκτελέστε επαναφορά εργοστασιακών ρυθμίσεων (hardware)
- Κάντε αναβάθμιση στην πιο πρόσφατη έκδοση firmware
- Αλλάξτε προεπιλεγμένα credentials
- Εφαρμόστε strategic firewall rules σε WAN-side interfaces για να αποτρέψετε την ανεπιθύμητη έκθεση σε υπηρεσίες απομακρυσμένης διαχείρισης.
Δείτε επίσης: Οι χειριστές του KV-Botnet προσπαθούν να επανέλθουν μετά τις ενέργειες του FBI
Προστασία από botnets
Για να προστατευτείτε από τα Botnet, είναι σημαντικό να διατηρείτε το λογισμικό και το λειτουργικό σύστημα της συσκευής σας ενημερωμένα. Οι επιθέσεις botnet συχνά εκμεταλλεύονται γνωστές ευπάθειες που έχουν διορθωθεί σε πιο πρόσφατες εκδόσεις του λογισμικού.
Επιπλέον, είναι σημαντικό να χρησιμοποιείτε ένα αξιόπιστο πρόγραμμα ασφάλειας που παρέχει προστασία από malware και botnets. Αυτό θα πρέπει να περιλαμβάνει την πραγματοποίηση τακτικών σαρώσεων για την ανίχνευση και την απομάκρυνση τυχόν επιθέσεων.
Η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά είναι άλλος ένας τρόπος για να προστατευθείτε από το Botnet. Οι επιθέσεις botnet συχνά προσπαθούν να μαντέψουν τους κωδικούς πρόσβασης (π.χ. στα Ubiquiti EdgeRouters), οπότε η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία των λογαριασμών σας.
Τέλος, η εκπαίδευση στην ασφάλεια των πληροφοριών μπορεί να είναι ιδιαίτερα χρήσιμη. Η κατανόηση των τρόπων με τους οποίους οι επιθέσεις botnet λειτουργούν και των τεχνικών που χρησιμοποιούν μπορεί να σας βοηθήσει να αναγνωρίσετε και να αποφύγετε τις επιθέσεις.
Πηγή: www.bleepingcomputer.com