Az FBI kompromittált EdgeRouterekkel kapcsolatban figyelmeztet

March 5, 2024 Yanac APT28, FancyBear, FBI, Oroszország

Az FBI, az NSA, az US Cyber Command és nemzetközi partnereik közös kiberbiztonsági jelentést adtak ki, mely az orosz állam által támogatott kiberszereplőkre figyelmeztet, akik a kompromittált Ubiquiti EdgeRoutereket rosszindulatú kiberműveletek végrehajtására használnak fel.

Az APT28 vagy Fancy Bear néven azonosított veszélyeztető szereplők hitelesítő adatokat, NTLMv2 digesteket gyűjtöttek, hálózati forgalmat proxiztak. A jelentés hangsúlyozza az APT28 tevékenységével kapcsolatos kockázatok csökkentésére irányuló azonnali intézkedések fontosságát, beleértve a hardver gyári visszaállítását, a firmware legújabb verziójára való frissítést, az alapértelmezett felhasználónevek és jelszavak megváltoztatását, valamint stratégiai tűzfalszabályok bevezetését a WAN-oldali interfészeken.

A dokumentum továbbá kiemeli a hálózat tulajdonosok részére hosszú távú kockázatcsökkentési stratégiát ajánl, valamint olyan útválasztók és berendezések használatát javasolja, amelyek megfelelnek a biztonságos tervezés elveinek, megszüntetik az alapértelmezett jelszavakat, és foglalkoznak a SOHO útválasztók hibáival. A jelentés megemlíti a kompromittálódás konkrét jeleit is, például az OpenSSH trójai által veszélyeztetett EdgeRouterek által megjelenített egyedi SSH azonosító karakterláncot, és útmutatást ad a fertőzések észleléséhez olyan eszközökkel, mint a Netcat. Összességében a jelentés átfogó útmutatóként szolgál az EdgeRouter hálózatok védelmezői és felhasználói számára, hogy megvédjék rendszereiket az APT28 fenyegetésekkel szemben, és fokozzák a kiberbiztonsági ellenálló képességet.

(forrás)