アメリカ当局は、ユビキティのEdgeRouter製品のユーザーに対し、APT28やForest Blizzard/Strontiumとしても知られるロシアの国家脅威攻撃者Fancy Bearの標的となる危険性があると警告した。
英国の国家サイバーセキュリティセンター(NCSC)やベルギー、ブラジル、フランス、ドイツ、ラトビア、リトアニア、ノルウェー、ポーランド、韓国の対応機関を含むパートナー機関も署名した協調勧告の中で、FBI、国家安全保障局も署名した。 NSA(NSA)と米国サイバー軍は、影響を受ける製品のユーザーに警戒するよう呼び掛けた。
「Fancy Bear と Forest Blizzard (Strontium) は、認証情報の収集、NTLMv2 ダイジェストの収集、ネットワーク トラフィックのプロキシ、およびスピア フィッシングのランディング ページとカスタム ツールのホストのために、世界中で侵害された EdgeRouter を使用しました。」と勧告には書かれています。
EdgeRouter のユーザーは、工場出荷時の状態にリセットし、最新のファームウェア バージョンにアップグレードし、デフォルトのユーザー名と資格情報を変更し、WAN 側インターフェイスに戦略的なファイアウォール ルールを実装するように指示されています。
Ubiquiti EdgeRouter は、ユーザーフレンドリーな Linux ベースのオペレーティング システムのおかげで、ユーザーと攻撃者の間で同様に人気を集めています。 残念ながら、これらのデバイスには 2 つの非常に危険な欠陥も含まれています。多くの場合、デバイスはデフォルトの認証情報とともに出荷され、ファイアウォール保護が制限されており、ユーザーが設定しない限りファームウェアを自動的に更新しません。
Fancy Bear は、侵害されたルーターを使用して、被害者の認証情報を収集し、ダイジェストを収集し、ネットワーク トラフィックをプロキシし、スピア フィッシング ランディング ページやその他のカスタム ツールをホストします。 作戦の標的には、ウクライナを含むロシア諜報機関が関心を持つ複数の国にある学術研究機関、大使館、防衛請負業者、政党などが含まれる。
NSAのサイバーセキュリティ局長ロブ・ジョイス氏は、「システムのどの部分も脅威から免れないわけではない」と述べた。 「これまで見てきたように、攻撃者はサーバー、ソフトウェア、システムに接続するデバイス、ユーザー認証情報など、さまざまな方法で脆弱性を悪用してきました。 現在、ロシア国家支援のサイバー攻撃者が侵害されたルーターを悪用しているのが確認されており、私たちは緩和策の推奨事項を提供するためにこの CSA に参加しています。」
この勧告をまとめた調査に貢献したマンディアントのサイバースパイ分析マネージャー、ダン・ブラック氏は次のように述べています。「マンディアントはパートナーと協力し、過去 2 年間にわたり、侵害されたルーターを使用して世界中でスパイ活動を行っている APT28 を追跡してきました。 これらのデバイスは、資格情報を盗み、さまざまな分野の政府や重要インフラ事業者にマルウェアを送り込むこのグループの取り組みの中心となってきました。
「APT28 の活動は、将来の活動を可能にするためにネットワーク デバイスを悪用するロシアと中国の脅威アクターによる広範なパターンの特徴です。 彼らはこれらを使用して、ターゲットのネットワークとの間でトラフィックをプロキシしながら、レーダーに気づかれないようにしています。」
FBI/NSAの発表は、米国司法省(DoJ)がデフォルトのパスワードが一度も変更されていないUbiquiti EdgeRouterで構成されたボットネットの大量削除を画策し、Fancy BearがMoobotと呼ばれるマルウェアを使用して特注のインストールを可能にしてからわずか2週間後に行われた。スクリプトとファイルを攻撃し、脆弱なルーターをサイバースパイ活動の資産として利用します。
このような戦術によるエッジ ネットワーキング デバイスへのリスクについてさらなる証拠が必要な場合、2024 年 1 月の同様の作戦で、中国が支援するボルト タイフーン攻撃者によって作成されたボットネットが組織的に削除されました。ホーム オフィスのルーターが KV ボットネットとして知られるマルウェアに感染しました。 このようにして、中国は、米国などの重要な国家インフラの運営者に対して行われたハッキングの発生源が中国であるという事実を隠すことができた。