Fancy Bear węszy użytkowników routerów Ubiquiti


Władze amerykańskie ostrzegają użytkowników Ubiquiti EdgeRouter, że mogą być narażone na ryzyko, że staną się celem rosyjskiego ugrupowania zagrażającego państwu Fancy Bear, znanego również jako APT28 i Forest Blizzard/Strantium.

W skoordynowanym poradniku, pod którym swoje podpisy złożyły agencje partnerskie, w tym brytyjskie Narodowe Centrum Cyberbezpieczeństwa (NCSC) oraz ich odpowiedniki w Belgii, Brazylii, Francji, Niemczech, Łotwie, Litwie, Norwegii, Polsce i Korei Południowej, FBI, National Security Agencja (NSA) i US Cyber ​​Command nalegały, aby użytkownicy produktów, których dotyczy problem, mieli się na baczności.

Fantazyjny Miś, i Forest Blizzard (Strantium) na całym świecie wykorzystywały zhakowane routery EdgeRouters do gromadzenia danych uwierzytelniających, zbierania skrótów NTLMv2, ruchu w sieci proxy oraz hostowania stron docelowych typu spear phishing i niestandardowych narzędzi” – czytamy w poradniku.

Użytkownicy EdgeRouters zostali poproszeni o przywrócenie ustawień fabrycznych, aktualizację oprogramowania sprzętowego do najnowszej wersji, zmianę domyślnych nazw użytkowników i danych uwierzytelniających oraz wdrożenie strategicznych reguł zapory sieciowej na interfejsach po stronie sieci WAN.

Ubiquiti EdgeRouters stały się popularne zarówno wśród użytkowników, jak i aktorów zagrożeń dzięki przyjaznemu dla użytkownika systemowi operacyjnemu opartemu na Linuksie. Niestety, zawierają one również dwie bardzo niebezpieczne wady – urządzenia często są dostarczane z domyślnymi danymi uwierzytelniającymi i mają ograniczone zabezpieczenia w postaci zapory ogniowej oraz nie aktualizują automatycznie oprogramowania sprzętowego, chyba że użytkownik je do tego skonfigurował.

Fancy Bear wykorzystuje zainfekowane routery do gromadzenia danych uwierzytelniających ofiar, zbierania podsumowań, ruchu w sieci proxy oraz hostowania stron docelowych typu spear phishing i innych niestandardowych narzędzi. Celem operacji są instytucje akademickie i badawcze, ambasady, wykonawcy w dziedzinie obronności i partie polityczne, zlokalizowane w wielu krajach będących przedmiotem zainteresowania rosyjskiego wywiadu, w tym na Ukrainie.

Reklama

„Żadna część systemu nie jest odporna na zagrożenia” – powiedział Rob Joyce, dyrektor ds. bezpieczeństwa cybernetycznego NSA. „Jak widzieliśmy, przeciwnicy na wiele sposobów wykorzystywali luki w zabezpieczeniach serwerów, oprogramowania, urządzeń łączących się z systemami i danych uwierzytelniających użytkowników. Teraz widzimy, jak sponsorowani przez rosyjskie państwo cyberprzestępcy nadużywają zaatakowanych routerów, dlatego przyłączamy się do porozumienia CSA, aby przedstawić zalecenia dotyczące środków zaradczych”.

Dan Black, menadżer ds Mandant Analiza cyberszpiegostwa, która wzięła udział w badaniu, na podstawie którego opracowano niniejszy poradnik, stwierdziła: „W ciągu ubiegłych dwóch lat firma Mandiant we współpracy z naszymi partnerami śledziła APT28 przy użyciu zainfekowanych routerów w celu prowadzenia globalnego szpiegostwa. Urządzenia te odegrały kluczową rolę w wysiłkach grupy mających na celu kradzież danych uwierzytelniających i dostarczanie złośliwego oprogramowania rządom i operatorom infrastruktury krytycznej w wielu różnych sektorach.

„Działalność APT28 jest charakterystyczna dla szerszego wzorca, w którym występują ugrupowania zagrażające z Rosji i ChRL, które wykorzystują urządzenia sieciowe w celu umożliwienia swoich przyszłych operacji. Używają ich do proxy ruchu do i z docelowych sieci, pozostając poza zasięgiem radaru”.

Oświadczenie FBI/NSA następuje zaledwie dwa tygodnie po tym, jak Departament Sprawiedliwości USA (DoJ) zorganizował masowe zniszczenie botnetu obejmujący routery Ubiquiti EdgeRouters, na których domyślne hasła nigdy nie były zmieniane, co umożliwiło Fancy Bear wykorzystanie szkodliwego oprogramowania o nazwie Moobot do instalowania niestandardowych skryptów i plików oraz zamieniania podatnych na ataki routerów na zasoby w kampaniach cyberszpiegowskich.

Jeżeli potrzebne były dalsze dowody na ryzyko, że taka taktyka zagraża urządzeniom sieci brzegowej, podobna operacja przeprowadzona w styczniu 2024 r. doprowadziła do skoordynowanego usunięcia botnetu stworzony przez wspieranego przez Chiny ugrupowania groźby Volt Typhoonw wyniku której setki routerów Cisco i Netgear do małych i domowych biur zostały zainfekowane złośliwym oprogramowaniem znanym jako KV Botnet. W ten sposób Chinom udało się ukryć fakt, że były one źródłem włamań dokonywanych przeciwko operatorom krytycznej infrastruktury krajowej w USA i innych krajach.



Source link

Advertisment

Więcej

Advertisment

Podobne

Advertisment

Najnowsze

Senat ponownie zatwierdza program szpiegowski FISA, ale nie przed jego wygaśnięciem o północy

Senat przyjął ustawę ponownie zatwierdzającą art. 720 ustawy o nadzorze wywiadu zagranicznego (FISA), kontrowersyjny program umożliwiający szpiegowanie zagranicznych „celów” bez nakazu ale długa,...

Przewodnik po Dniu Społeczności Pokémon Go Bellsprout

PokemonGo organizuje wydarzenie z okazji Dnia Społeczności Bellsprout 20 kwietnia od 14:00 do 17:00 czasu lokalnego. Zgodnie z oczekiwaniami w przypadku...

Co oznacza restrukturyzacja Google dla Pixela i Androida?

Kluczowe dania na wynos Wewnętrzne zmiany Google pod rządami Ricka Osterloha mają na celu usprawnienie działania Pixela i Androida oraz usprawnienie...
Advertisment