Безопасность Ubiquiti — это необязательная опция
Документ под названием “Cyber Actors Use Compromised Routers to Facilitate Cyber Operations”, опубликованный ФБР, АНБ, киберкомандованием США и международными партнёрами предупреждает об использовании скомпрометированных маршрутизаторов Ubiquiti EdgeRouters для облегчения вредоносных киберопераций по всему миру.
Популярность Ubiquiti EdgeRouters объясняется удобной в использовании ОС на базе Linux, учётными данными по умолчанию и ограниченной защитой брандмауэром. Маршрутизаторы часто поставляются с небезопасными конфигурациями по умолчанию и не обновляют прошивку автоматически.
Скомпрометированные EdgeRouters использовались APT28 для сбора учётных данных, NTLMv2, сетевого трафика прокси-сервера и размещения целевых страниц для фишинга и пользовательских инструментов. APT28 получила доступ к маршрутизаторам, используя учётные данные по умолчанию, и троянизировала серверные процессы OpenSSH. Наличие root-доступ к скомпрометированным маршрутизаторам, дало доступ к ОС для установки инструментов и сокрытия своей личности.
APT28 также развернула пользовательские скрипты Python на скомпрометированных маршрутизаторах для сбора и проверки украденных данных учётной записи веб-почты, полученных с помощью межсайтовых скриптов и кампаний фишинга "браузер в браузере". Кроме того, они использовали критическую уязвимость с повышением привилегий на нулевой день в Microsoft Outlook (CVE-2023–23397) для сбора данных NTLMv2 из целевых учётных записей Outlook и общедоступные инструменты для оказания помощи в NTLM-атаках
📌 APT28 (известные как Fancy Bear, Forest Blizzard и Strontium) использовали скомпрометированные серверы Ubiquiti EdgeRouters для проведения вредоносных киберопераций по всему миру.
📌 Эксплуатация включает сбор учётных данных, сбор дайджестов NTLMv2, проксирование сетевого трафика, а также размещение целевых страниц для фишинга и пользовательских инструментов.
📌 ФБР, АНБ, киберкомандование США и международные партнеры выпустили совместное консультативное заключение по кибербезопасности (CSA) с подробным описанием угрозы и рекомендациями по ее устранению.
📌 Рекомендации включают наблюдаемые тактики, методы и процедуры (TTP), индикаторы компрометации (IoC) для сопоставления с системой MITRE ATT&CK framework.
📌 В рекомендациях содержится настоятельный призыв к немедленным действиям по устранению угрозы, включая выполнение заводских настроек оборудования, обновление встроенного ПО, изменение учётных данных по умолчанию и внедрение стратегических правил брандмауэра.
📌 APT28 использует скомпрометированные EdgeRouters как минимум с 2022 года для содействия операциям против различных отраслей промышленности и стран, включая США.
📌 EdgeRouters популярны благодаря своей удобной операционной системе на базе Linux, но часто поставляются с учётными данными по умолчанию и ограниченной защитой брандмауэром.
📌 В рекомендациях содержатся подробные TTP и IOC, которые помогут сетевым защитникам идентифицировать угрозу и смягчить ее последствия.
📌 Рекомендация также включает информацию о том, как сопоставить вредоносную киберактивность с платформой MITRE ATT & CK framework.
📌 Организации, использующие Ubiquiti EdgeRouters, должны принять немедленные меры для защиты своих устройств от использования APT28.
📌 Рекомендуемые действия включают сброс оборудования к заводским настройкам, обновление до последней версии прошивки, изменение имен пользователей и паролей по умолчанию и внедрение стратегических правил брандмауэра.