Ubiquiti EdgeRouters被入侵,俄黑客组织APT28又双叒叕发起秘密攻击
2024-2-28 14:36:26 Author: www.freebuf.com(查看原文) 阅读量:21 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Bleepingcomputer网站消息,近日,美国联邦调查局与国家安全局、美国网络司令部及国际合作伙伴联合发布警告称,俄罗斯军方黑客正通过被入侵的Ubiquiti EdgeRouters来逃避检测。

早在2018年4月,美国和英国当局已经联合发布报告称,俄罗斯黑客正在攻击家用及企业级路由器。该报告强调,俄罗斯黑客长期以来一直将互联网路由器作为攻击目标,通过这些设备发起中间人攻击以支持其间谍活动,保持对受害者网络的持续访问,并为进一步的攻击活动奠定基础。

这些黑客属于俄罗斯总参谋部情报总局(GRU)下的26165军事单位,也被称为APT28和Fancy Bear。他们利用这些受到攻击的路由器创建了大型的僵尸网络,以便窃取登录凭证、搜集NTLMv2认证信息,并用作恶意流量的中转站。

此外,在针对全球各地的军事、政府及其他机构的秘密网络行动中,APT28还利用EdgeRouters部署定制工具和设置钓鱼网站的登陆页面。

联合警告指出,EdgeRouters通常以默认的登录凭据出售,并且为了方便无线互联网服务提供商(WISPs)的使用,这些路由器的防火墙保护非常有限或几乎不存在。除非用户进行设置,否则EdgeRouters不会自动更新其固件。

本月早些时候,美国联邦调查局(FBI)破坏了一个由网络罪犯创建的僵尸网络,该网络由感染了Moobot恶意软件的Ubiquiti EdgeRouters组成。虽然被破坏的僵尸网络与APT28无关,但后来该组织重新利用这些路由器,构建了一个具有全球影响力的网络间谍工具。

在调查被黑路由器的过程中,FBI发现了各种APT28发起攻击使用的多种工具和痕迹,其中包括用来窃取网络邮件凭据的Python脚本、用来搜集NTLMv2认证摘要的程序,以及自动将钓鱼流量重定向到攻击专用基础设施的定制路由规则。

APT28

APT28是一个声名狼藉的俄罗斯黑客组织,自成立以来,已经被查明是多起高调网络攻击的幕后黑手。

2016年,该组织入侵了德国联邦议院(Deutscher Bundestag),并在美国总统选举前对民主党国会竞选委员会(DCCC)和民主党全国委员会(DNC)发起了攻击。

两年后(即2018年),APT28成员因参与DNC和DCCC的攻击在美国被起诉。

2020年10月,欧洲联盟理事会因APT28成员参与德国联邦议院黑客事件对其实施了制裁。

如何“恢复”被入侵的Ubiquiti EdgeRouters

FBI及其合作机构在通告中建议采取以下措施,以消除恶意软件感染并阻止APT28访问被入侵的路由器:

  1. 将硬件恢复出厂设置以清除恶意文件;
  2. 升级到最新的固件版本;
  3. 更改所有默认的用户名和密码;
  4. 在广域网(WAN)侧接口部署策略性防火墙规则,避免远程管理服务被不当访问。

目前,联邦调查局正在搜集有关APT28在被黑的EdgeRouters上的活动信息,目的是为了阻止这些攻击技术的进一步使用,并对相关责任者进行问责。

如果发现任何与这些攻击有关的可疑或非法行为,应立即向当地的FBI办公室或联邦调查局的互联网犯罪投诉中心(IC3)进行报告。

参考来源:Russian hackers hijack Ubiquiti routers to launch stealthy attacks (bleepingcomputer.com)


文章来源: https://www.freebuf.com/news/392782.html
如有侵权请联系:admin#unsafe.sh