Estados Unidos insta a las organizaciones a limpiar los enrutadores infectados por el grupo de hackers ruso APT28

El gobierno estadounidense ha tomado medidas recientemente contra una campaña de ciberespionaje llevada a cabo por el grupo ruso APT28 , también conocido como Fancy Bear o Sednit . Tras el desmantelamiento de una botnet compuesta por enrutadores Ubiquiti, que fueron infectados con un malware denominado ' Moobot ', las autoridades ahora instan a las organizaciones e individuos a limpiar sus dispositivos para apoyar los esfuerzos de disrupción.

Los enrutadores infectados, utilizados principalmente en entornos de pequeñas oficinas/oficinas domésticas (SOHO), fueron comprometidos por ciberdelincuentes que explotaron las credenciales predeterminadas y troyanizaron los procesos del servidor OpenSSH asociados con Moobot. Luego, APT28 obtuvo el control de estos enrutadores, utilizándolos para operaciones encubiertas dirigidas a diversos sectores en Europa, Medio Oriente y Estados Unidos, incluidos el aeroespacial, energético, gubernamental, manufacturero y tecnológico.

Una vez dentro de los enrutadores, los actores de APT28 utilizaron varias tácticas, incluida la recopilación de credenciales, la representación del tráfico de red y la implementación de herramientas personalizadas posteriores a la explotación . También explotaron una vulnerabilidad de día cero en Outlook para recopilar credenciales de cuentas específicas e implementaron scripts de Python para una mayor recolección de credenciales.

Además, APT28 aprovechó los enrutadores comprometidos con fines de comando y control, usándolos como infraestructura para una puerta trasera de Python llamada MasePie. El grupo empleó técnicas sofisticadas, como establecer conexiones de proxy inverso y cargar claves SSH RSA para establecer túneles SSH inversos.

Para abordar la amenaza, el aviso recomienda varias medidas de mitigación, incluido el restablecimiento de fábrica de los dispositivos, la actualización del firmware, el cambio de las credenciales predeterminadas y la implementación de reglas de firewall. Se anima a las organizaciones y a los consumidores a utilizar los indicadores de compromiso (IoC) proporcionados para detectar signos de infección y tomar las medidas necesarias para evitar compromisos similares en el futuro.

En general, el llamado a la acción del gobierno de EE. UU. subraya la amenaza actual que representa APT28 y la importancia de proteger la infraestructura de red para protegerse contra actividades de ciberespionaje .