Bleepingcomputer網站消息,近日,美國聯邦調查局與國家安全局、美國網絡司令部及國際合作伙伴聯合發布警告稱,俄羅斯軍方黑客正通過被入侵的Ubiquiti EdgeRouters來逃避檢測。


早在2018年4月,美國和英國當局已經聯合發布報告稱,俄羅斯黑客正在攻擊家用及企業級路由器。該報告強調,俄羅斯黑客長期以來一直將互聯網路由器作為攻擊目標,通過這些設備發起中間人攻擊以支持其間諜活動,保持對受害者網絡的持續訪問,并為進一步的攻擊活動奠定基礎。



這些黑客屬于俄羅斯總參謀部情報總局(GRU)下的26165軍事單位,也被稱為APT28和Fancy Bear。他們利用這些受到攻擊的路由器創建了大型的僵尸網絡,以便竊取登錄憑證、搜集NTLMv2認證信息,并用作惡意流量的中轉站。


此外,在針對全球各地的軍事、政府及其他機構的秘密網絡行動中,APT28還利用EdgeRouters部署定制工具和設置釣魚網站的登陸頁面。


聯合警告指出,EdgeRouters通常以默認的登錄憑據出售,并且為了方便無線互聯網服務提供商(WISPs)的使用,這些路由器的防火墻保護非常有限或幾乎不存在。除非用戶進行設置,否則EdgeRouters不會自動更新其固件。


本月早些時候,美國聯邦調查局(FBI)破壞了一個由網絡罪犯創建的僵尸網絡,該網絡由感染了Moobot惡意軟件的Ubiquiti EdgeRouters組成。雖然被破壞的僵尸網絡與APT28無關,但后來該組織重新利用這些路由器,構建了一個具有全球影響力的網絡間諜工具。


在調查被黑路由器的過程中,FBI發現了各種APT28發起攻擊使用的多種工具和痕跡,其中包括用來竊取網絡郵件憑據的Python腳本、用來搜集NTLMv2認證摘要的程序,以及自動將釣魚流量重定向到攻擊專用基礎設施的定制路由規則。


APT28


APT28是一個聲名狼藉的俄羅斯黑客組織,自成立以來,已經被查明是多起高調網絡攻擊的幕后黑手。


2016年,該組織入侵了德國聯邦議院(Deutscher Bundestag),并在美國總統選舉前對民主黨國會競選委員會(DCCC)和民主黨全國委員會(DNC)發起了攻擊。


兩年后(即2018年),APT28成員因參與DNC和DCCC的攻擊在美國被起訴。


2020年10月,歐洲聯盟理事會因APT28成員參與德國聯邦議院黑客事件對其實施了制裁。


如何“恢復”被入侵的Ubiquiti EdgeRouters


FBI及其合作機構在通告中建議采取以下措施,以消除惡意軟件感染并阻止APT28訪問被入侵的路由器:


  1. 將硬件恢復出廠設置以清除惡意文件;
  2. 升級到最新的固件版本;
  3. 更改所有默認的用戶名和密碼;
  4. 在廣域網(WAN)側接口部署策略性防火墻規則,避免遠程管理服務被不當訪問。


目前,聯邦調查局正在搜集有關APT28在被黑的EdgeRouters上的活動信息,目的是為了阻止這些攻擊技術的進一步使用,并對相關責任者進行問責。


如果發現任何與這些攻擊有關的可疑或非法行為,應立即向當地的FBI辦公室或聯邦調查局的互聯網犯罪投訴中心(IC3)進行報告。


參考來源:Russian hackers hijack Ubiquiti routers to launch stealthy attacks (bleepingcomputer.com)

網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接