俄罗斯军方黑客劫持Ubiquiti路由器发动隐秘攻击

当地时间2月27日，美国联邦调查局(FBI)在与美国国家安全局(NSA)、美国网络司令部(U.S. Cyber Command)和国际合作伙伴（英国NCSC、法国DGSI、德国BSI、韩国NIS等）发布的一份联合报告中表示，俄罗斯军事黑客正在使用被入侵的Ubiquiti EdgeRouters逃避检测。军事单位26165网络间谍是俄罗斯总参谋部主要情报局(GRU)的一部分，被追踪为APT28和Fancy Bear，他们正在使用这些被劫持的非常流行的路由器建立广泛的僵尸网络，帮助他们窃取凭证，收集NTLMv2摘要，并代理恶意流量。这些被劫持的路由器也被用来托管定制工具和网络钓鱼登陆页面，贯穿针对全球军队、政府和其他组织的秘密网络行动。

这份联合报告警告称:“EdgeRouters出厂时通常带有默认凭证，并且没有防火墙保护，以适应无线互联网服务提供商(wisp)。”

“此外，除非用户配置，否则EdgeRouters不会自动更新固件。”

本月早些时候，美国联邦调查局(FBI)破坏了一个由Ubiquiti EdgeRouters组成的僵尸网络，该僵尸网络感染了与APT28无关的Moobot恶意软件，俄罗斯黑客组织后来将其改造为一个具有全球影响力的网络间谍工具。

在调查被黑客入侵的路由器时，FBI发现了各种APT28工具和产品，包括用于窃取webmail凭证的Python脚本，用于获取NTLMv2摘要的程序，以及自动将网络钓鱼流量重定向到专用攻击基础设施的自定义路由规则。

作为法院授权的“垂死余烬行动”的一部分，联邦调查局特工远程访问了被入侵的路由器，并使用Moobot恶意软件本身删除了被盗和恶意的数据和文件。接下来，他们删除了Moobot恶意软件，并阻止了远程访问，否则俄罗斯网络间谍就会重新感染这些设备。

除了阻止GRU访问路由器外，这次行动并没有破坏设备的标准功能或收集用户数据。此外，法院批准的切断路由器与Moobot僵尸网络连接的行动只是暂时的。用户可以通过重置出厂路由器或通过本地网络访问路由器来逆转FBI的防火墙规则。

APT28是一个臭名昭著的俄罗斯黑客组织，自从他们开始运作以来，已经被发现对几次备受瞩目的网络攻击负责

他们在2016年美国总统大选之前侵入了德国联邦议会，并对民主党国会竞选委员会(DCCC)和民主党全国委员会(DNC)发起了攻击。

两年后，APT28成员在美国被指控参与了DNC和DCCC的攻击。欧盟理事会也于2020年10月制裁了APT28成员，原因是他们参与了对德国联邦议会的黑客攻击。

如何“复活”被劫持的Ubiquiti EdgeRouters

美国联邦调查局及其合作伙伴机构在今天的咨询中建议采取以下措施来摆脱恶意软件感染并阻止APT28访问受感染的路由器:

执行硬件出厂重置以清除恶意文件的文件系统

升级到最新的固件版本

更改任何默认用户名和口令

在WAN端接口上实现战略性防火墙规则，以防止不必要的暴露给远程管理服务。

美国联邦调查局(FBI)正在寻找有关被黑客入侵的EdgeRouters上APT28活动的信息，以防止这些技术的进一步使用，并追究责任人的责任。

美国执法机构鼓励用户向FBI现场办公室或FBI的互联网犯罪投诉中心(IC3)报告任何与这些攻击有关的可疑或犯罪活动。

六年前，也就是2018年4月，美国和英国当局发布的联合警报也警告说，俄罗斯政府支持的攻击者正在积极瞄准和攻击家庭和企业路由器。

正如2018年4月的报告所警告的那样，俄罗斯黑客历来以互联网路由设备为目标，用于中间人攻击，以支持间谍活动，保持对受害者网络的持续访问，并为其他攻击行动奠定基础。

参考资源：

1.https://www.bleepingcomputer.com/news/security/russian-hackers-hijack-ubiquiti-routers-to-launch-stealthy-attacks/

2.https://www.bleepingcomputer.com/news/security/fbi-disrupts-russian-moobot-botnet-infecting-ubiquiti-routers/

原文来源：网空闲话plus

“

原文始发于微信公众号（关键基础设施安全应急响应中心）：俄罗斯军方黑客劫持Ubiquiti路由器发动隐秘攻击