กลุ่มแฮ็กเกอชาวร์รัสเซียกำลังใช้ Ubiquiti EdgeRouters ที่ถูกบุกรุกเพื่อหลบเลี่ยงการตรวจจับ
โดยกลุ่ม Military Unit 26165 ซึ่งเป็นส่วนหนึ่งของ Main Intelligence Directorate of the General Staff (GRU) ของรัสเซีย และเป็นที่รู้จักในชื่อ APT28 และ Fancy Bear ได้ใช้เราเตอร์ที่ถูกบุกรุก และได้รับความนิยมอย่างมากเหล่านี้ เพื่อสร้างบอตเน็ตซึ่งช่วยขโมยข้อมูล NTLMv2 และทำหน้าที่เป็นพร็อกซีสำหรับการดำเนินการที่เป็นอันตราย
นอกจากนี้ยังใช้เพื่อโฮสต์เครื่องมือที่สร้างขึ้นเอง รวมถึงหน้าเว็บฟิชชิ่ง ตลอดจนปฏิบัติการทางไซเบอร์ต่าง ๆ ที่มุ่งเป้าไปยังกองทัพ รัฐบาล และองค์กรอื่น ๆ ทั่วโลก
"EdgeRouters มักจะมาพร้อมกับ default credentials และไม่มีการป้องกันด้วยไฟร์วอลล์เพื่อรองรับผู้ให้บริการอินเทอร์เน็ตไร้สาย (WISP) นอกจากนี้ EdgeRouters จะไม่มีการอัปเดตเฟิร์มแวร์โดยอัตโนมัติ เว้นแต่ผู้ใช้จะอัปเดตด้วยตนเอง" FBI เตือน
"ด้วยการเข้าถึงสิทธิ์รูทของ Ubiquiti EdgeRouters กลุ่ม APT28 จะสามารถเข้าถึงระบบปฏิบัติการบน Linux ได้อย่างอิสระ เพื่อติดตั้งเครื่องมือ และสร้างความสับสนในขณะที่ดำเนินการแคมเปญที่เป็นอันตราย"
หลังจากตรวจสอบเราเตอร์ที่ถูกแฮ็ก FBI ค้นพบเครื่องมือต่าง ๆ ของ APT28 รวมถึงสคริปต์ Python สำหรับขโมยข้อมูล โปรแกรมที่ออกแบบมาเพื่อรวบรวมข้อมูล NTLMv2 และการกำหนดเส้นทางที่สร้างขึ้นเพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลแบบฟิชชิ่งโดยอัตโนมัติ
APT28 เป็นกลุ่มแฮ็กเกอร์ชาวรัสเซีย ซึ่งถูกระบุว่ามีส่วนต่อการโจมตีทางไซเบอร์ที่มีชื่อเสียงหลายครั้งนับตั้งแต่เริ่มปฏิบัติการ พวกเขาอยู่เบื้องหลังการโจมตีคณะกรรมการรณรงค์หาเสียงของรัฐสภาประชาธิปไตย (DCCC) และคณะกรรมการประชาธิปไตยแห่งชาติ (DNC) ก่อนการเลือกตั้งประธานาธิบดีสหรัฐในปี 2016 และถูกตั้งข้อหาในสหรัฐอเมริกาเนื่องจากมีส่วนร่วมในการโจมตี DNC และ DCCC นอกจากนี้สภาสหภาพยุโรปยังได้คว่ำบาตรสมาชิก APT28 ในเดือนตุลาคม 2020 ฐานมีส่วนร่วมในการแฮ็กรัฐสภาเยอรมัน
วิธีกู้คืน Ubiquiti EdgeRouters ที่ถูกแฮ็ก
FBI และหน่วยงานพันธมิตรแนะนำมาตรการต่อไปนี้เพื่อกำจัดมัลแวร์ และบล็อกการเข้าถึงเราเตอร์ที่ถูกบุกรุกจากกลุ่ม APT28:
1. ทำการรีเซ็ตฮาร์ดแวร์เป็นค่าเริ่มต้นจากโรงงานเพื่อล้างระบบไฟล์ของไฟล์ที่เป็นอันตราย
2. อัปเกรดเฟิร์มแวร์ให้เป็นเวอร์ชันล่าสุด
3. เปลี่ยนชื่อผู้ใช้ และรหัสผ่านเริ่มต้น
4. ใช้ Rules บนไฟร์วอลล์อินเทอร์เฟซฝั่ง WAN เพื่อป้องกันการเข้าถึงจากระยะไกลที่ไม่ได้รับอนุญาต
FBI กำลังตรวจสอบหาข้อมูลที่เกี่ยวข้องกับการดำเนินการของกลุ่ม APT28 บน EdgeRouters ที่ถูกแฮ็ก เพื่อป้องกันการโจมตีโดยใช้เทคนิคเหล่านี้ต่อไป
แฮ็กเกอร์ชาวรัสเซียเคยกำหนดเป้าหมายไปยังอุปกรณ์ Internet routing เพื่อใช้ในการโจมตีแบบ man-in-the-middle เพื่อสนับสนุนการจารกรรมข้อมูลของเหยื่ออย่างต่อเนื่อง และวางรากฐานสำหรับปฏิบัติการในครั้งต่อ ๆ ไป
ที่มา : https://www.