當(dāng)?shù)貢r(shí)間2月27日�,美國聯(lián)邦調(diào)查局(FBI)在與美國國家安全局(NSA)���、美國網(wǎng)絡(luò)司令部(U.S. Cyber Command)和國際合作伙伴(英國NCSC�、法國DGSI�����、德國BSI�、韓國NIS等)發(fā)布的一份聯(lián)合報(bào)告中表示,俄羅斯軍事黑客正在使用被入侵的Ubiquiti EdgeRouters逃避檢測�����。軍事單位26165網(wǎng)絡(luò)間諜是俄羅斯總參謀部主要情報(bào)局(GRU)的一部分�����,被追蹤為APT28和Fancy Bear,他們正在使用這些被劫持的非常流行的路由器建立廣泛的僵尸網(wǎng)絡(luò)��,幫助他們竊取憑證��,收集NTLMv2摘要�,并代理惡意流量。這些被劫持的路由器也被用來托管定制工具和網(wǎng)絡(luò)釣魚登陸頁面���,貫穿針對全球軍隊(duì)、政府和其他組織的秘密網(wǎng)絡(luò)行動(dòng)�。
這份聯(lián)合報(bào)告警告稱:“EdgeRouters出廠時(shí)通常帶有默認(rèn)憑證,并且沒有防火墻保護(hù)����,以適應(yīng)無線互聯(lián)網(wǎng)服務(wù)提供商(wisp)。”
“此外����,除非用戶配置,否則EdgeRouters不會(huì)自動(dòng)更新固件����。”
本月早些時(shí)候,美國聯(lián)邦調(diào)查局(FBI)破壞了一個(gè)由Ubiquiti EdgeRouters組成的僵尸網(wǎng)絡(luò)���,該僵尸網(wǎng)絡(luò)感染了與APT28無關(guān)的Moobot惡意軟件��,俄羅斯黑客組織后來將其改造為一個(gè)具有全球影響力的網(wǎng)絡(luò)間諜工具�。
在調(diào)查被黑客入侵的路由器時(shí),F(xiàn)BI發(fā)現(xiàn)了各種APT28工具和產(chǎn)品����,包括用于竊取webmail憑證的Python腳本,用于獲取NTLMv2摘要的程序��,以及自動(dòng)將網(wǎng)絡(luò)釣魚流量重定向到專用攻擊基礎(chǔ)設(shè)施的自定義路由規(guī)則��。
作為法院授權(quán)的“垂死余燼行動(dòng)”的一部分�,聯(lián)邦調(diào)查局特工遠(yuǎn)程訪問了被入侵的路由器,并使用Moobot惡意軟件本身刪除了被盜和惡意的數(shù)據(jù)和文件���。接下來��,他們刪除了Moobot惡意軟件��,并阻止了遠(yuǎn)程訪問��,否則俄羅斯網(wǎng)絡(luò)間諜就會(huì)重新感染這些設(shè)備��。
除了阻止GRU訪問路由器外��,這次行動(dòng)并沒有破壞設(shè)備的標(biāo)準(zhǔn)功能或收集用戶數(shù)據(jù)�����。此外���,法院批準(zhǔn)的切斷路由器與Moobot僵尸網(wǎng)絡(luò)連接的行動(dòng)只是暫時(shí)的�����。用戶可以通過重置出廠路由器或通過本地網(wǎng)絡(luò)訪問路由器來逆轉(zhuǎn)FBI的防火墻規(guī)則�����。
APT28是一個(gè)臭名昭著的俄羅斯黑客組織,自從他們開始運(yùn)作以來�,已經(jīng)被發(fā)現(xiàn)對幾次備受矚目的網(wǎng)絡(luò)攻擊負(fù)責(zé)。
他們在2016年美國總統(tǒng)大選之前侵入了德國聯(lián)邦議會(huì)���,并對民主黨國會(huì)競選委員會(huì)(DCCC)和民主黨全國委員會(huì)(DNC)發(fā)起了攻擊�����。
兩年后��,APT28成員在美國被指控參與了DNC和DCCC的攻擊��。歐盟理事會(huì)也于2020年10月制裁了APT28成員�,原因是他們參與了對德國聯(lián)邦議會(huì)的黑客攻擊。
如何“復(fù)活”被劫持的Ubiquiti EdgeRouters
美國聯(lián)邦調(diào)查局及其合作伙伴機(jī)構(gòu)在今天的咨詢中建議采取以下措施來擺脫惡意軟件感染并阻止APT28訪問受感染的路由器:
執(zhí)行硬件出廠重置以清除惡意文件的文件系統(tǒng)
升級到最新的固件版本
更改任何默認(rèn)用戶名和口令
在WAN端接口上實(shí)現(xiàn)戰(zhàn)略性防火墻規(guī)則��,以防止不必要的暴露給遠(yuǎn)程管理服務(wù)��。
美國聯(lián)邦調(diào)查局(FBI)正在尋找有關(guān)被黑客入侵的EdgeRouters上APT28活動(dòng)的信息���,以防止這些技術(shù)的進(jìn)一步使用�,并追究責(zé)任人的責(zé)任���。
美國執(zhí)法機(jī)構(gòu)鼓勵(lì)用戶向FBI現(xiàn)場辦公室或FBI的互聯(lián)網(wǎng)犯罪投訴中心(IC3)報(bào)告任何與這些攻擊有關(guān)的可疑或犯罪活動(dòng)��。
六年前���,也就是2018年4月,美國和英國當(dāng)局發(fā)布的聯(lián)合警報(bào)也警告說���,俄羅斯政府支持的攻擊者正在積極瞄準(zhǔn)和攻擊家庭和企業(yè)路由器��。
正如2018年4月的報(bào)告所警告的那樣��,俄羅斯黑客歷來以互聯(lián)網(wǎng)路由設(shè)備為目標(biāo)���,用于中間人攻擊��,以支持間諜活動(dòng)����,保持對受害者網(wǎng)絡(luò)的持續(xù)訪問��,并為其他攻擊行動(dòng)奠定基礎(chǔ)���。
參考資源:
1.https://www.bleepingcomputer.com/news/security/russian-hackers-hijack-ubiquiti-routers-to-launch-stealthy-attacks/
2.https://www.bleepingcomputer.com/news/security/fbi-disrupts-russian-moobot-botnet-infecting-ubiquiti-routers/
原文來源:網(wǎng)空閑話plus
在線咨詢
在線咨詢
0371-63319761