Besmette Ubiquiti EdgeRouters gebruikt voor stelen van wachtwoorden

[Captain Kirk]

Besmette Ubiquiti EdgeRouters zijn door aanvallers gebruikt voor het stelen van inloggegevens en wachtwoordhashes, proxyen van netwerkverkeer en uitvoeren van phishingaanvallen, zo waarschuwen de FBI, de Amerikaanse geheime dienst NSA, het Centrum voor Cybersecurity België, het Britse National Cyber Security Centre (NCSC), het Duitse Bundesamt für Sicherheit in der Informationstechnik (BSI), alsmede politiediensten uit Noorwegen, Zuid-Korea, Letland, Frankrijk, Brazilië, Polen en Litouwen (pdf). De autoriteiten roepen eigenaren op om een fabrieksreset van de routers uit te voeren.

In een gezamenlijke waarschuwing stellen de autoriteiten dat de aanvallen zijn uitgevoerd door een eenheid van de Russische geheime dienst, die ook bekendstaat als APT28 en Fancy Bear. Onlangs maakte de Amerikaanse overheid bekend dat het een botnet van besmette Ubiquiti EdgeRouters in de Verenigde Staten had opgeschoond, door de malware van de apparaten te verwijderen en firewall rules te wijzigen.

De diensten stellen dat EdgeRouters vaak met standaard inloggegevens worden verscheept en over beperkte of geen firewallbescherming beschikken. Daarnaast installeren EdgeRouters niet automatisch beveiligingsupdates, tenzij beheerders instellen om dit te doen. Volgens de diensten heeft APT28 besmette EdgeRouters gebruikt om inloggegevens te verzamelen, netwerkverkeer te proxyen en gespoofte landingpagina's te hosten. Zo gebruikten de aanvallers scripts voor het verzamelen van inloggegevens van specifieke webmailgebruikers.

Tevens zijn besmette EdgeRouters gebruikt voor het uitvoeren van NTLM relay-aanvallen en het stelen van wachtwoordhashes. In het geval van een relay-aanval kan een aanvaller met de onderschepte hash van het slachtoffer inloggen. Aanvallen zijn uitgevoerd tegen overheden, militaire organisaties en bedrijven in allerlei sectoren, aldus de diensten in hun gezamenlijke advisory.

Om toegang tot de routers te krijgen maken de aanvallers gebruik van standaard wachtwoorden en 'getrojaniseerde OpenSSH serverprocessen', afkomstig van al aanwezige malware. Deze malware is eerder gebruikt om de routers via standaard inloggegevens te compromitteren. Vervolgens worden legitieme bestanden op de router vervangen door getrojaniseerde versies.

 

Maatregelen

De overheidsdiensten roepen eigenaren van Ubiquiti EdgeRouters op om een hardwarematige fabrieksreset uit te voeren, de laatste firmware te installeren, standaard inloggegevens te wijzigen en firewall rules voor de WAN-interfaces in te stellen. In de advisory geven de diensten allerlei informatie om de aanwezigheid van malware op de routers te detecteren.

 

 

bron: https://www.security.nl