Ubiquiti Router

Smalltalk OffTopic
1

Ich gehe zwar davon aus, dass alle keine Hardware mit Standard-Passwörtern betreiben. Aber diese Information kann ja nicht Schaden:

Ubiquiti Router:

SOHO-Router von Ubiquiti befallen
Das Spionagenetzwerk bestand aus Hunderten von SOHO-Routern (Small Office/Home Office), und wurde von …

Die vom Gericht autorisierte Operation des Ministeriums nutzte die Moobot-Malware, um gestohlene und bösartige Daten und Dateien von den kompromittierten Routern zu kopieren und zu löschen. Um den Zugriff der GRU auf die Router zu neutralisieren, bis die Opfer die Kompromittierung entschärfen und die volle Kontrolle wiedererlangen können, wurden die Firewall-Regeln der Router reversibel geändert.

Dadurch wurde der Fernverwaltungszugriff auf die Geräte blockiert. Weiterhin wurde im Verlauf der Operation die vorübergehende Sammlung von Routing-Informationen ohne Inhalt aktiviert, um die Versuche der GRU, die Operation zu vereiteln, aufzudecken würden. Vor der Operation wurde die Übernahme der betreffenden Ubiquiti Edge OS Router ausgiebig getestet. Abgesehen von der Blockade des Remotezugriffs der GRU auf die Router hatte der Vorgang keine Auswirkungen auf die normale Funktionalität der Router oder das Sammeln legitimer Benutzerdaten.

Nutzer müssen reagieren
Nun liegt es an den Nutzern, auf die Entfernung infizierter Router vom Moobot-Netzwerk zu reagieren. Die Benutzer können die Änderungen der Firewall-Regeln rückgängig machen, indem sie ihre Router auf die Werkseinstellungen zurücksetzen oder über ihr lokales Netzwerk auf ihre Router zugreifen (z. B. über die webbasierte Benutzeroberfläche der Router).

Ein Zurücksetzen des Routers auf die Werkseinstellungen ohne gleichzeitige Änderung des Standard-Administrator-Passworts führt jedoch dazu, dass der Router wieder mit den Standard-Administrator-Anmeldeinformationen betrieben wird, wodurch er für eine erneute Infektion oder ähnliche Angriffe anfällig wird. Um sich zu schützen, rät das FBI allen Opfern, die folgenden Schritte zur Abhilfe durchzuführen:

  • Führen Sie einen Hardware-Werksreset durch, um das Dateisystem von bösartigen Dateien zu säubern;
  • Aktualisieren Sie die Geräte auf die neueste Firmware-Version;
  • Ändern Sie alle Standard-Benutzernamen und -Kennwörter

Weiterhin empfiehlt das FBI den Opfern, strategischer Firewall-Regeln zu implementieren, um die unerwünschte Offenlegung von Remote-Management-Diensten zu verhindern. Der letzte Schritt wird aber nur für erfahrenere Nutzer möglich sein. Das FBI rät Router-Besitzern dringend, ihre Geräte nicht mit dem Internet zu verbinden, solange die Standardkennwörter nicht geändert wurden.

Quelle: