Федеральні агентства США та інших країн закликали користувачів звернути увагу на ризик використання маршрутизаторів Ubiquiti EdgeRouter. Заява відомств слідує за розгромом ботнета MooBot, що складається із заражених роутерів.

Ботнет MooBot, за даними відомств, використовувався угрупуванням APT28 щодо таємних кібероперацій і поширення спеціалізованого шкідливого ПЗ. Хакерів APT28 називають прокремлівським угрупуванням, відомим також під іншими іменами: Fighting Ursa, Forest Blizzard і Fancy Bear.

APT28 застосовувала зламані роутери EdgeRouter по всьому світу для збору облікових даних, перенаправлення трафіку та створення фішингових сторінок. Атаки, розпочаті у 2022 році, торкнулися багатьох секторів критичної інфраструктури в ряді країн, включаючи Чехію, Італію та США.

Серед методів MooBot — зламування роутерів з легкими паролями для встановлення троянських програм на основі OpenSSH. Отримавши доступ, APT28 використовувала bash-скрипти та ELF-бінарні файли для крадіжки даних та проведення фішингу. Також угруповання експлуатувало критичну вразливість Microsoft Outlook CVE-2023−23 397.

В арсеналі APT28 виявлено MASEPIE — Python-бекдор, що дозволяє виконувати команди на комп’ютерах жертв, використовуючи заражені роутери Ubiquiti як інфраструктуру управління та контролю.

Рекомендації агентств для організацій включають скидання налаштувань маршрутизаторів до заводських, оновлення прошивки, зміну паролів та встановлення брандмауера для обмеження віддаленого доступу.

Источник: noworries.news