Britanske i američke kibernetičko-bezbjednosne i obavještajne agencije upozorile su na hakere ruske nacionalne države koji iskorištavaju sada zakrpljene nedostatke u mrežnoj opremi kompanije Cisco za izviđanje i postavljanje malicioznog softvera protiv odabranih ciljeva.
Upadi su se, prema vlastima, dogodili 2021. godine i ciljali su na mali broj entiteta u Evropi, institucije američke vlade i oko 250 ukrajinskih žrtava.
Aktivnost je pripisana hakeru praćenom kao APT28, koji je takođe poznat kao Fancy Bear, Forest Blizzard (ranije Strontium), FROZENLAKE i Sofacy, a povezan je s Glavnim obavještajnim direktoratom ruskog Generalštaba (GRU).
“Poznato je da APT28 pristupa ranjivim ruterima korištenjem zadanih i slabih SNMP nizova zajednice, te korištenjem CVE-2017-6742” rekao je Nacionalni centar za kibernetičku bezbjednost (NCSC).
CVE-2017-6742 (CVSS rezultat: 8,8) je dio skupa grešaka u izvršavanju koda na daljinu koje proizlaze iz stanja prelivanja bafera u podsistemu Simple Network Management Protocol-a (SNMP) u softveru Cisco IOS i IOS XE.
U napadima koje su agencije zapazile, haker je postavio nepostojan maliciozni softver nazvan Jaguar Tooth na Cisco ruterima koji je sposoban prikupljati informacije o uređaju i omogućiti neautoriziran backdoor pristup.
Iako je Cisco probleme zakrpio u junu 2017. godine, oni su od 11. januara 2018. godine došli pod javnu eksploataciju, naglašavajući potrebu za robusnim praksama upravljanja zakrpama kako bi se ograničila površina napada.
Osim ažuriranja na najnoviji firmver kako bi se ublažile potencijalne pretnje, kompanija takođe preporučuje da se korisnici prebace sa SNMP na NETCONF ili RESTCONF radi upravljanja mrežom.
Cisco Talos je, u koordinisanom savjetovanju, rekao da su napadi dio šire kampanje protiv zastarjelih mrežnih uređaja i softvera raznih dobavljača kako bi se “unaprijedili ciljevi špijunaže ili pretpostavka za buduće destruktivne aktivnosti”.
Ovo uključuje instalaciju malicioznog softvera u infrastrukturni uređaj, pokušaje nadzora mrežnog saobraćaja i napade koje su pokrenuli “protivnici sa već postojećim pristupom internim okruženjima koji ciljaju TACACS+/RADIUS servere kako bi dobili kredencijale.”
“Uređaji za rutovanje/switch su stabilni, rijetko se ispituju iz sigurnosne perspektive, često su loše zakrpljeni i pružaju duboku vidljivost mreže” rekao je Matt Olney, direktor obavještavanja o pretnjama i zabrani u Cisco-u.
“Oni su savršena meta za hakera koji želi biti tih i imati pristup važnim obavještajnim sposobnostima, kao i uporište u željenoj mreži. Nacionalne obavještajne agencije i hakeri koje sponzoriše država širom svijeta napadali su mrežnu infrastrukturu kao primarnu metu.”
Upozorenje dolazi mjesecima nakon što je američka vlada oglasila uzbunu zbog hakerskih ekipa sa sjedištem u Kini koja koriste ranjivost mreže za iskorištavanje organizacija javnog i privatnog sektora bar od 2020. godine.
Zatim, ranije ove godine, Mandiant u vlasništvu Google-a istakao je napore koje su poduzeli hakeri koje sponzoriše kineska država kako bi implementovali prilagođeni maliciozni softver na ranjive uređaje Fortinet i SonicWall.
“Napredni hakeri iz polja kibernetičke špijunaže koriste prednosti bilo koje tehnologije koja je dostupna za opstanak i prolazak kroz ciljno okruženje, posebno one tehnologije koje ne podržavaju rešenja, detekciju krajnjih tačaka i odgovor” rekao je Mandiant.
Izvor: The Hacker News
