Безопасность Ubiquiti — это необязательная опция

Документ ‎под‏ ‎названием ‎«Cyber ‎Actors ‎Use ‎Compromised‏ ‎Routers ‎to‏ ‎Facilitate‏ ‎Cyber ‎Operations», ‎опубликованный‏ ‎ФБР, ‎АНБ,‏ ‎киберкомандованием ‎США ‎и ‎международными‏ ‎партнёрами‏ ‎предупреждает ‎об‏ ‎использовании ‎скомпрометированных‏ ‎маршрутизаторов ‎Ubiquiti ‎EdgeRouters ‎для ‎облегчения‏ ‎вредоносных‏ ‎киберопераций ‎по‏ ‎всему ‎миру.

Популярность‏ ‎Ubiquiti ‎EdgeRouters ‎объясняется ‎удобной ‎в‏ ‎использовании‏ ‎ОС‏ ‎на ‎базе‏ ‎Linux, ‎учётными‏ ‎данными ‎по‏ ‎умолчанию‏ ‎и ‎ограниченной‏ ‎защитой ‎брандмауэром. ‎Маршрутизаторы ‎часто ‎поставляются‏ ‎с ‎небезопасными‏ ‎конфигурациями‏ ‎по ‎умолчанию ‎и‏ ‎не ‎обновляют‏ ‎прошивку ‎автоматически.

Скомпрометированные ‎EdgeRouters ‎использовались‏ ‎APT28‏ ‎для ‎сбора‏ ‎учётных ‎данных,‏ ‎NTLMv2, ‎сетевого ‎трафика ‎прокси-сервера ‎и‏ ‎размещения‏ ‎целевых ‎страниц‏ ‎для ‎фишинга‏ ‎и ‎пользовательских ‎инструментов. ‎APT28 ‎получила‏ ‎доступ‏ ‎к‏ ‎маршрутизаторам, ‎используя‏ ‎учётные ‎данные‏ ‎по ‎умолчанию,‏ ‎и‏ ‎троянизировала ‎серверные‏ ‎процессы ‎OpenSSH. ‎Наличие ‎root-доступ ‎к‏ ‎скомпрометированным ‎маршрутизаторам,‏ ‎дало‏ ‎доступ ‎к ‎ОС‏ ‎для ‎установки‏ ‎инструментов ‎и ‎сокрытия ‎своей‏ ‎личности.

APT28‏ ‎также ‎развернула‏ ‎пользовательские ‎скрипты‏ ‎Python ‎на ‎скомпрометированных ‎маршрутизаторах ‎для‏ ‎сбора‏ ‎и ‎проверки‏ ‎украденных ‎данных‏ ‎учётной ‎записи ‎веб-почты, ‎полученных ‎с‏ ‎помощью‏ ‎межсайтовых‏ ‎скриптов ‎и‏ ‎кампаний ‎фишинга‏ ‎«браузер ‎в‏ ‎браузере».‏ ‎Кроме ‎того,‏ ‎они ‎использовали ‎критическую ‎уязвимость ‎с‏ ‎повышением ‎привилегий‏ ‎на‏ ‎нулевой ‎день ‎в‏ ‎Microsoft ‎Outlook‏ ‎(CVE-2023–23397) ‎для ‎сбора ‎данных‏ ‎NTLMv2‏ ‎из ‎целевых‏ ‎учётных ‎записей‏ ‎Outlook ‎и ‎общедоступные ‎инструменты ‎для‏ ‎оказания‏ ‎помощи ‎в‏ ‎NTLM-атаках

Ключевые ‎моменты

📌 APT28‏ ‎(известные ‎как ‎Fancy ‎Bear, ‎Forest‏ ‎Blizzard‏ ‎и‏ ‎Strontium) ‎использовали‏ ‎скомпрометированные ‎серверы‏ ‎Ubiquiti ‎EdgeRouters‏ ‎для‏ ‎проведения ‎вредоносных‏ ‎киберопераций ‎по ‎всему ‎миру.

📌 Эксплуатация ‎включает‏ ‎сбор ‎учётных‏ ‎данных,‏ ‎сбор ‎дайджестов ‎NTLMv2,‏ ‎проксирование ‎сетевого‏ ‎трафика, ‎а ‎также ‎размещение‏ ‎целевых‏ ‎страниц ‎для‏ ‎фишинга ‎и‏ ‎пользовательских ‎инструментов.

📌 ФБР, ‎АНБ, ‎киберкомандование ‎США‏ ‎и‏ ‎международные ‎партнеры‏ ‎выпустили ‎совместное‏ ‎консультативное ‎заключение ‎по ‎кибербезопасности ‎(CSA)‏ ‎с‏ ‎подробным‏ ‎описанием ‎угрозы‏ ‎и ‎рекомендациями‏ ‎по ‎ее‏ ‎устранению.

📌 Рекомендации‏ ‎включают ‎наблюдаемые‏ ‎тактики, ‎методы ‎и ‎процедуры ‎(TTP),‏ ‎индикаторы ‎компрометации‏ ‎(IoC)‏ ‎для ‎сопоставления ‎с‏ ‎системой ‎MITRE‏ ‎ATT& ‎CK ‎framework.

📌 В ‎рекомендациях‏ ‎содержится‏ ‎настоятельный ‎призыв‏ ‎к ‎немедленным‏ ‎действиям ‎по ‎устранению ‎угрозы, ‎включая‏ ‎выполнение‏ ‎заводских ‎настроек‏ ‎оборудования, ‎обновление‏ ‎встроенного ‎ПО, ‎изменение ‎учётных ‎данных‏ ‎по‏ ‎умолчанию‏ ‎и ‎внедрение‏ ‎стратегических ‎правил‏ ‎брандмауэра.

📌 APT28 ‎использует‏ ‎скомпрометированные‏ ‎EdgeRouters ‎как‏ ‎минимум ‎с ‎2022 ‎года ‎для‏ ‎содействия ‎операциям‏ ‎против‏ ‎различных ‎отраслей ‎промышленности‏ ‎и ‎стран,‏ ‎включая ‎США.

📌 EdgeRouters ‎популярны ‎благодаря‏ ‎своей‏ ‎удобной ‎операционной‏ ‎системе ‎на‏ ‎базе ‎Linux, ‎но ‎часто ‎поставляются‏ ‎с‏ ‎учётными ‎данными‏ ‎по ‎умолчанию‏ ‎и ‎ограниченной ‎защитой ‎брандмауэром.

📌 В ‎рекомендациях‏ ‎содержатся‏ ‎подробные‏ ‎TTP ‎и‏ ‎IOC, ‎которые‏ ‎помогут ‎сетевым‏ ‎защитникам‏ ‎идентифицировать ‎угрозу‏ ‎и ‎смягчить ‎ее ‎последствия.

📌 Рекомендация ‎также‏ ‎включает ‎информацию‏ ‎о‏ ‎том, ‎как ‎сопоставить‏ ‎вредоносную ‎киберактивность‏ ‎с ‎платформой ‎MITRE ‎ATT‏ ‎&‏ ‎CK ‎framework.

📌 Организации,‏ ‎использующие ‎Ubiquiti‏ ‎EdgeRouters, ‎должны ‎принять ‎немедленные ‎меры‏ ‎для‏ ‎защиты ‎своих‏ ‎устройств ‎от‏ ‎использования ‎APT28.

📌 Рекомендуемые ‎действия ‎включают ‎сброс‏ ‎оборудования‏ ‎к‏ ‎заводским ‎настройкам,‏ ‎обновление ‎до‏ ‎последней ‎версии‏ ‎прошивки,‏ ‎изменение ‎имен‏ ‎пользователей ‎и ‎паролей ‎по ‎умолчанию‏ ‎и ‎внедрение‏ ‎стратегических‏ ‎правил ‎брандмауэра.