Les États-Unis exhortent les organisations à nettoyer les routeurs infectés par le groupe de hackers russe APT28

Le gouvernement américain a récemment pris des mesures contre une campagne de cyberespionnage menée par le groupe russe APT28 , également connu sous le nom de Fancy Bear ou Sednit . Suite au démantèlement d'un botnet composé de routeurs Ubiquiti infectés par un malware baptisé « Moobot », les autorités exhortent désormais les organisations et les particuliers à nettoyer leurs appareils pour soutenir les efforts de perturbation.

Les routeurs infectés, principalement utilisés dans les petits bureaux/bureaux à domicile (SOHO), ont été compromis par des cybercriminels qui ont exploité les informations d'identification par défaut et trojanisé les processus du serveur OpenSSH associés à Moobot. APT28 a ensuite pris le contrôle de ces routeurs, les utilisant pour des opérations secrètes ciblant divers secteurs en Europe, au Moyen-Orient et aux États-Unis, notamment l'aérospatiale, l'énergie, le gouvernement, l'industrie manufacturière et la technologie.

Une fois à l’intérieur des routeurs, les acteurs d’APT28 ont utilisé diverses tactiques, notamment la collecte d’informations d’identification, le proxy du trafic réseau et le déploiement d’outils post-exploitation personnalisés . Ils ont également exploité une vulnérabilité Zero Day dans Outlook pour collecter les informations d'identification des comptes ciblés et déployé des scripts Python pour une collecte ultérieure des informations d'identification.

De plus, APT28 a exploité les routeurs compromis à des fins de commande et de contrôle, en les utilisant comme infrastructure pour une porte dérobée Python appelée MasePie. Le groupe a utilisé des techniques sophistiquées telles que l'établissement de connexions proxy inverses et le téléchargement de clés SSH RSA pour établir des tunnels SSH inverses.

Pour faire face à la menace, l'avis recommande plusieurs mesures d'atténuation, notamment la réinitialisation des appareils aux paramètres d'usine, la mise à jour du micrologiciel, la modification des informations d'identification par défaut et la mise en œuvre de règles de pare-feu. Les organisations et les consommateurs sont encouragés à utiliser les indicateurs de compromission (IoC) fournis pour détecter les signes d'infection et à prendre les mesures nécessaires pour éviter des compromissions similaires à l'avenir.

Dans l'ensemble, l'appel à l'action du gouvernement américain souligne la menace persistante posée par APT28 et l'importance de sécuriser l'infrastructure réseau pour se prémunir contre les activités de cyberespionnage .