俄罗斯黑客劫持Ubiquiti路由器发起隐秘攻击

FBI 在与 NSA、美国网络司令部和国际合作伙伴发布的联合报告（https://www.ic3.gov/Media/News/2024/240227.pdf）中表示，俄罗斯军事黑客正在使用受损的 Ubiquiti EdgeRouter 来逃避检测。

APT28网络间谍是俄罗斯总参谋部主要情报局 (GRU) 的一部分，他们使用这些被劫持且非常流行的路由器来构建广泛的僵尸网络，帮助他们窃取凭据、收集 NTLMv2 摘要和代理恶意流量。

它们还用于在针对全球军队、政府和其他组织的秘密网络行动中托管自定义工具和网络钓鱼登陆页面。

联合咨询警告称：“EdgeRouters 通常附带默认凭据，并且仅限于没有防火墙保护来适应无线互联网服务提供商 (WISP) 。”

“此外，EdgeRouters 不会自动更新固件，除非消费者对其进行配置。”

本月早些时候，FBI破坏了 Ubiquiti EdgeRouters 的僵尸网络，该僵尸网络被与 APT28 无关的网络犯罪分子感染了 Moobot 恶意软件，俄罗斯黑客组织后来将 APT28 重新用于构建具有全球影响力的网络间谍工具。

在调查被黑客入侵的路由器时，FBI 发现了各种 APT28 工具和工件，包括用于窃取 Web 邮件凭据的 Python 脚本、旨在收集 NTLMv2 摘要的程序，以及自动将网络钓鱼流量重定向到专用攻击基础设施的自定义路由规则。

APT28 是一个臭名昭著的俄罗斯黑客组织，自其首次运营以来被发现对数起备受瞩目的网络攻击负有责任。

他们在 2016 年美国总统大选前攻陷了德国联邦议会 (Deutscher Bundestag)，并幕后攻击民主党国会竞选委员会 (DCCC) 和民主党全国委员会 (DNC) 。

两年后，APT28 成员因参与 DNC 和 DCCC 攻击而在美国受到指控。欧盟理事会还于 2020 年 10 月对参与德国联邦议会黑客攻击的APT28 成员进行了制裁。

如何“恢复”被劫持的 Ubiquiti EdgeRouters

FBI 和今天发布建议的合作伙伴机构建议采取以下措施来消除恶意软件感染并阻止 APT28 访问受感染的路由器：

• 执行硬件出厂重置以清除恶意文件的文件系统

• 升级到最新固件版本

• 更改任何默认用户名和密码

• 在 WAN 侧接口上实施战略防火墙规则，以防止远程管理服务遭受不必要的暴露。

FBI 正在寻找有关 APT28 在被黑客攻击的 EdgeRouters 上活动的信息，以防止进一步使用这些技术并追究责任人的责任。

美国和英国当局于六年前（即 2018 年 4 月）发布的联合警报还警告称，俄罗斯国家支持的攻击者正在积极瞄准和攻击家庭和企业路由器。

正如 2018 年 4 月的通报所警告的那样，俄罗斯黑客历来以互联网路由设备为目标，进行中间人攻击，以支持间谍活动、保持对受害者网络的持续访问，并为其他攻击行动奠定基础。

参考链接：https://www.bleepingcomputer.com/news/security/russian-hackers-hijack-ubiquiti-routers-to-launch-stealthy-attacks/