FBI waarschuwt voor Russische staatshackers die kmo-routers infecteren 

De FBI publiceert enkele adviezen voor eigenaars van Ubiquiti EdgeRouters, die gebruikt worden door Russische staatshackers.  

De meest gekende weg die hackers nemen om binnen te dringen in systemen, is via infrastructuur of IP-adressen. Russische staatshackers maken al enkele jaren gebruik van bepaalde Ubiquiti routers om onopgemerkt binnen te dringen. De FBI en partners uit tien andere landen waarschuwen eigenaars van Ubiquiti EdgeRouters om hun apparatuur na te kijken op verdachte signalen en enkele adviezen te volgen. APT28 is de naam die gebruikt wordt om de groep op te sporen.  

Router als schuilplaats

De goedkope Ubiquiti EdgeRouters worden voornamelijk gebruikt in huizen of kleine kantoren en draaien op een versie van Linux dat malware kan hosten. Deze routers zijn de ideale schuilplaats voor Russische hackers die deze apparatuur gebruiken om kwaadaardige activiteiten uit te voeren.  

FBI-functionarissen schreven dinsdag het volgende in een advies: “Met root-toegang tot gecompromitteerde Ubiquiti EdgeRouters, hebben APT28-actoren onbelemmerde toegang tot op Linux gebaseerde besturingssystemen om tooling te installeren en hun identiteit te verdoezelen tijdens het uitvoeren van kwaadaardige campagnes”. 

De routers werden door APT28 gebruikt om inloggegevens en kwaadaardig proxyverkeer te verzamelen, maar ook om vervalste bestemmingspagina’s en aangepaste post-exploit-malware te hosten. Dit is één van de verschillende aanvallen dat de voorbije jaren door APT28 werden uitgevoerd.  

Adviezen voor eigenaars

Ben je eigenaar van dergelijke routers? Volg dan zeker onderstaande adviezen op van de FBI. Zij verstoorden recent een GRU-botnet dat uit dergelijke routers bestond. Om het succes van deze verstoringsinspanning op lange termijn te garanderen, dienen eigenaars enkele maatregelen te volgen.  

  • Voer een hardware-fabrieksreset uit om alle schadelijke bestanden te verwijderen 
  • Upgrade naar de nieuwste firmwareversie 
  • Wijzig eventuele standaard gebruikersnamen en wachtwoorden 
  • Implementeer firewallregels om externe toegang tot services voor extern beheer te beperken 

In het advies stond ook te lezen dat APT28 de geïnfecteerde routers al sinds ten minste 2022 gebruikt om geheime operaties tegen regeringen, legers en organisaties over heel de wereld mogelijk te maken.  

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.