Безопасность Ubiquiti — это необязательная опция Документ под названием “Cyber Actors Use Compromised Routers to Facilitate Cyber Operations”, опубликованный ФБР, АНБ, киберкомандованием США и международными партнёрами предупреждает об использовании скомпрометированных маршрутизаторов Ubiquiti EdgeRouters для облегчения вредоносных киберопераций по всему миру. Популярность Ubiquiti EdgeRouters объясняется удобной в использовании ОС на базе Linux, учётными данными по умолчанию и ограниченной защитой брандмауэром. Маршрутизаторы часто поставляются с небезопасными конфигурациями по умолчанию и не обновляют прошивку автоматически. Скомпрометированные EdgeRouters использовались APT28 для сбора учётных данных, NTLMv2, сетевого трафика прокси-сервера и размещения целевых страниц для фишинга и пользовательских инструментов. APT28 получила доступ к маршрутизаторам, используя учётные данные по умолчанию, и троянизировала серверные процессы OpenSSH. Наличие root-доступ к скомпрометированным маршрутизаторам, дало доступ к ОС для установки инструментов и сокрытия своей личности. APT28 также развернула пользовательские скрипты Python на скомпрометированных маршрутизаторах для сбора и проверки украденных данных учётной записи веб-почты, полученных с помощью межсайтовых скриптов и кампаний фишинга "браузер в браузере". Кроме того, они использовали критическую уязвимость с повышением привилегий на нулевой день в Microsoft Outlook (CVE-2023–23397) для сбора данных NTLMv2 из целевых учётных записей Outlook и общедоступные инструменты для оказания помощи в NTLM-атаках Ключевые моменты 📌 APT28 (известные как Fancy Bear, Forest Blizzard и Strontium) использовали скомпрометированные серверы Ubiquiti EdgeRouters для проведения вредоносных киберопераций по всему миру. 📌 Эксплуатация включает сбор учётных данных, сбор дайджестов NTLMv2, проксирование сетевого трафика, а также размещение целевых страниц для фишинга и пользовательских инструментов. 📌 ФБР, АНБ, киберкомандование США и международные партнеры выпустили совместное консультативное заключение по кибербезопасности (CSA) с подробным описанием угрозы и рекомендациями по ее устранению. 📌 Рекомендации включают наблюдаемые тактики, методы и процедуры (TTP), индикаторы компрометации (IoC) для сопоставления с системой MITRE ATT&CK framework. 📌 В рекомендациях содержится настоятельный призыв к немедленным действиям по устранению угрозы, включая выполнение заводских настроек оборудования, обновление встроенного ПО, изменение учётных данных по умолчанию и внедрение стратегических правил брандмауэра. 📌 APT28 использует скомпрометированные EdgeRouters как минимум с 2022 года для содействия операциям против различных отраслей промышленности и стран, включая США. 📌 EdgeRouters популярны благодаря своей удобной операционной системе на базе Linux, но часто поставляются с учётными данными по умолчанию и ограниченной защитой брандмауэром. 📌 В рекомендациях содержатся подробные TTP и IOC, которые помогут сетевым защитникам идентифицировать угрозу и смягчить ее последствия. 📌 Рекомендация также включает информацию о том, как сопоставить вредоносную киберактивность с платформой MITRE ATT & CK framework. 📌 Организации, использующие Ubiquiti EdgeRouters, должны принять немедленные меры для защиты своих устройств от использования APT28. 📌 Рекомендуемые действия включают сброс оборудования к заводским настройкам, обновление до последней версии прошивки, изменение имен пользователей и паролей по умолчанию и внедрение стратегических правил брандмауэра.