FBI și partenerii de securitate din 10 țări avertizează că grupările de hackeri susținute de Rusia și China derulează o campanie pentru infectarea routerelor de rețea folosite de consumatori, cu scopul facilitării unor viitoare activități malițioase.
Comercializate și în România, echipamentele de rețea Ubiquiti EdgeRouters conțin vulnerabilități exploatate în mod activ de hackeri pentru infiltrarea de elemente malware, facilitând includerea acestora în rețele de tip botnet.
Potrivit FBI, dispozitivele Ubiquiti EdgeRouter reprezintă o ascunzătoare ideală pentru hackeri. Echipamentul ieftin, folosit în case și birouri mici, rulează o versiune de Linux care poate găzdui programe malware nedetectabile pentru utilizatorii de rând. Hackerii folosesc apoi routerele astfel compromise pentru inițierea de atacuri DDoS și alte activități clandestine.
În loc să folosească infrastructura și adresele IP despre care se știe că sunt ostile, hackerii direcționează conexiunile prin dispozitive aparent inofensive și găzduite la adrese considerate de încredere, reușind astfel să ocolească multe din mecanismele de securitate create să blocheze anumite atacuri informatice.
”Rezumând, cu acces root la Ubiquiti EdgeRouters compromise, actorii APT28 au acces neîngrădit la sistemele de operare bazate pe Linux pentru a instala instrumente și pentru a-și ofusca identitatea în timp ce desfășoară campanii rău intenționate”, precizează reprezentanții FBI într-o informare publicată în cursul zilei de marți. APT28 – unul dintre numele folosite pentru a urmări un grup susținut de Direcția Principală de Informații a Statului Major al Rusiei, cunoscută sub numele de GRU, desfășoară de cel puțin patru ani activități folosind routere de rețea compromise.
FBI precizează că ”proprietarii de dispozitive relevante ar trebui să ia măsurile de remediere descrise mai jos pentru a asigura succesul pe termen lung al eforturilor de blocare a operațiunilor de hacking și pentru a identifica și remedia orice dispozitive compromise”.
Aceste acțiuni includ:
- Resetare hardware la setările de fabrică pentru a elimina aplicațiile malware deja infiltrate
- Actualizare la cea mai recentă versiune de firmware
- Schimbarea oricărui nume de utilizator și parole predefinite (ex: admin – admin)
- Oprirea accesului extern (din internet) la serviciile de management de la distanță, prin ajustarea regulilor de firewall.
La începutul acestei luni, FBI a dezvăluit că a eliminat în mod discret malware rusesc descoperit pe routerele din casele și companiile din SUA. Operațiunea, care a primit autorizarea prealabilă a instanței, a continuat să adauge reguli de firewall care ar împiedica APT28 – urmărit și sub nume precum Sofacy Group, Forest Blizzard, Pawn Storm, Fancy Bear și Sednit – să poată recapăta controlul asupra dispozitiv
