وحذرت السلطات الأمريكية المستخدمين من يوبيكويتي منتجات EdgeRouter التي قد تكون معرضة لخطر استهدافها من قبل ممثل التهديد الحكومي الروسي Fancy Bear، المعروف أيضًا باسم APT28 وForest Blizzard/Strontium.
في استشارة منسقة، قامت الوكالات الشريكة، بما في ذلك المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) ونظرائها في بلجيكا والبرازيل وفرنسا وألمانيا ولاتفيا وليتوانيا والنرويج وبولندا وكوريا الجنوبية، بالتوقيع أيضًا، ومكتب التحقيقات الفيدرالي، والأمن القومي. وحثت وكالة (NSA) والقيادة السيبرانية الأمريكية مستخدمي المنتجات المتضررة على توخي الحذر.
“الدب الهوى, وForest Blizzard (Strontium)، استخدمت EdgeRouters المخترقة على مستوى العالم لجمع بيانات الاعتماد، وجمع ملخصات NTLMv2، وحركة مرور شبكة الوكيل، واستضافة الصفحات المقصودة للتصيد الاحتيالي والأدوات المخصصة.
تم إخبار مستخدمي EdgeRouters بإجراء إعادة ضبط المصنع، والترقية إلى أحدث إصدار من البرنامج الثابت، وتغيير أسماء المستخدمين وبيانات الاعتماد الافتراضية، وتنفيذ قواعد جدار الحماية الإستراتيجية على واجهات جانب الشبكة الواسعة.
أصبحت Ubiquiti EdgeRouters شائعة بين المستخدمين والجهات الفاعلة في مجال التهديد على حدٍ سواء بفضل نظام التشغيل سهل الاستخدام والمعتمد على Linux. ولسوء الحظ، فإنها تحتوي أيضًا على عيبين خطيرين للغاية – غالبًا ما يتم شحن الأجهزة ببيانات اعتماد افتراضية ولها حماية محدودة لجدار الحماية، ولا تقوم بتحديث البرامج الثابتة الخاصة بها تلقائيًا ما لم يقم المستخدم بتكوينها للقيام بذلك.
يستخدم Fancy Bear أجهزة توجيه مخترقة للحصول على بيانات اعتماد الضحية، وجمع الملخصات، وحركة مرور شبكة الوكيل، واستضافة الصفحات المقصودة للتصيد الاحتيالي وغيرها من الأدوات المخصصة. وتشمل أهداف العملية المؤسسات الأكاديمية والبحثية والسفارات ومقاولي الدفاع والأحزاب السياسية، الموجودة في العديد من البلدان التي تهم المخابرات الروسية، بما في ذلك أوكرانيا.
وقال روب جويس، مدير الأمن السيبراني في وكالة الأمن القومي: “لا يوجد أي جزء من النظام محصن ضد التهديدات”. “كما رأينا، استغل الخصوم نقاط الضعف في الخوادم، وفي البرامج، وفي الأجهزة التي تتصل بالأنظمة، وفي بيانات اعتماد المستخدم، بأي عدد من الطرق. الآن، نرى الجهات الفاعلة السيبرانية التي ترعاها الدولة الروسية تسيء استخدام أجهزة التوجيه المخترقة، ونحن ننضم إلى وكالة الفضاء الكندية لتقديم توصيات التخفيف.
دان بلاك، مدير مانديانت وقال تحليل التجسس السيبراني، الذي ساهم في البحث الذي تم تجميع الاستشارة منه: “قامت شركة Mandiant، بالتعاون مع شركائنا، بتتبع APT28 باستخدام أجهزة توجيه مخترقة لإجراء التجسس على مستوى العالم على مدار العامين الماضيين. وكانت هذه الأجهزة أساسية في جهود المجموعة لسرقة بيانات الاعتماد وتقديم البرامج الضارة إلى الحكومات ومشغلي البنية التحتية الحيوية في مجموعة من القطاعات المختلفة.
“إن نشاط APT28 هو سمة من سمات نمط أوسع من الجهات الفاعلة في مجال التهديد الروسي والصيني الذي يستغل أجهزة الشبكة لتمكين عملياته المستقبلية. إنهم يستخدمونها لتسيير حركة المرور بالوكالة من وإلى الشبكات المستهدفة مع البقاء تحت الرادار.
يأتي إعلان مكتب التحقيقات الفيدرالي/وكالة الأمن القومي بعد أسبوعين تقريبًا من إعلان وزارة العدل الأمريكية. دبرت عملية إزالة جماعية لشبكة الروبوتات تشتمل على Ubiquiti EdgeRouters التي لم يتم تغيير كلمات المرور الافتراضية عليها مطلقًا، مما يمكّن Fancy Bear من استخدام برنامج ضار يسمى Moobot لتثبيت نصوص برمجية وملفات مخصصة وتحويل أجهزة التوجيه الضعيفة إلى أصول في حملات التجسس عبر الإنترنت.
إذا كانت هناك حاجة إلى مزيد من الأدلة على المخاطر التي تهدد أجهزة الشبكات الطرفية من مثل هذه التكتيكات، فقد شهدت عملية مماثلة في يناير 2024 إزالة منسقة لشبكة الروبوتات. تم إنشاؤها بواسطة جهة التهديد Volt Typhoon المدعومة من الصين، والتي شهدت إصابة المئات من أجهزة التوجيه الصغيرة والمكاتب المنزلية التي تحمل العلامة التجارية Cisco وNetgear ببرنامج ضار يُعرف باسم KV Botnet. وبهذه الطريقة، تمكنت الصين من إخفاء حقيقة أنها كانت مصدر الاختراقات التي ارتكبت ضد مشغلي البنية التحتية الوطنية الحيوية في الولايات المتحدة وأماكن أخرى.
