ФБР, Национальное управление безопасности и Киберкоманда США предупреждают, что спонсируемые государством российские хакеры совершают координированные атаки на продукцию EdgeRouter компании Ubiquiti.
Злоумышленники APT28 (известные также как Fancy Bear, Forest Blizzard или Strontium) эксплуатируют EdgeRouters по всему миру для сбора учетных данных, NTLMv2-разъемов, проксирования сетевого трафика, хостинга лэндинг-страниц для спиро-фишинга и кастомных инструментов, предупреждает документ [pdf].
В документе отмечается глобальная популярность устройства EdgeRouter. Оно часто поставляется с дефолтными учетными данными и ограниченной защитой брандмауэра, чтобы соответствовать потребностям провайдеров беспроводного интернета.
APT28 начали использовать уязвимые устройства как минимум с начала 2022 года. Они устанавливают кастомные Python скрипты на зараженных устройствах для сбора и проверки украденных учетных данных веб-почты.
Некоторые компрометированные EdgeRouters также используются для создания инфраструктуры командного и контрольного центра для распространения задней двери MASEPIE.
MASEPIE – это небольшая Python задняя дверь, которая может выполнять команды на зараженных машинах. APT28 создали ее в декабре 2023 года.
Среди мер по защите, предложенных в документе, включены сброс до заводских настроек роутера, обновление до последней версии прошивки, изменение всех дефолтных учетных данных и использование правил брандмауэра для блокирования защиты сервисов управления.
Оригинальная новость на сайте
/cloudfront-us-east-2.images.arcpublishing.com/reuters/PXQZOEOPEJLGZNCL5KDX7OOHBI.jpg "Aurora открывает первый коммерческий маршрут для автономных грузовиков")
/cloudfront-us-east-2.images.arcpublishing.com/reuters/273LGIC6QVOBXM7A5RYFOWZYLQ.jpg "Российский блогер предъявил иск Google в Испании")
