Поделиться
США и Англия бьют тревогу: «русские» внедряются в сети через древние «дыры» в роутерах Cisco
Государственные структуры Великобритании и США бьют тревогу – «русские хакеры» из группировки APT28 могут по-прежнему заниматься кибершпионажем, проникая в сети организаций через уязвимые маршрутизаторы производства Cisco. При этом используемая ими брешь была устранена еще в 2016 г., но владельцы «железа» так и не удосужились его «пропатчить».APT28 все еще использует уязвимости шестилетней давности в «железе» Cisco
Центр национальной компьютерной безопасности Великобритании, Агентство национальной безопасности США, Агентство по кибербезопасности и защите инфраструктуры США и Федеральное бюро расследований США опубликовали подробности, касающиеся кибератак хакеров из APT28 (FancyBear, Stronium, Sofacy, Pawn Storm), совершенных в 2021 г. с использованием давней уязвимости сетевого оборудования компании Cisco. Об этом сообщило издание The Register.
Целями русскоговорящей группировки, которой приписывают связь с российской разведкой, стали государственные структуры Европы, США и Украины, внедрение в компьютерные сети которых осуществлялось якобы для кибершпионажа.
Как отмечает The Register, APT28 знаменита, в частности, благодаря кибератаке на инфраструктуру Бундестага в 2015 г., почтовых серверов Национального комитета Демократической партии США в 2016 г. и Парламента Великобритании в 2017 г. Группировку также обвиняли в попытке проникновения в сеть Организации по запрещению химического оружия в апреле 2018 г., а также череде кибератак против Украины после начала СВО.
Техники, тактики и процедуры, описанные в опубликованном госорганизациями США и Великобритании материале, по мнению его авторов, могут до сих пор использоваться в атаках на уязвимые устройства Cisco.
Брешь с идентификатором CVE-2017-6742, упомянутая в материале, была обнаружена и устранена Cisco в 2017 г. Таким образом, в распоряжении владельцев уязвимого оборудования имелось почти шесть лет, чтобы установить устраняющие ее патчи.
SNMP и Jaguar Tooth
В серии атак, датируемых 2021 г., APT28 использовала протокол сетевого управления SNMP для получения доступа к маршрутизаторам Cisco в различных точках планеты. Этот протокол предназначен для удаленного мониторинга и настройки сетевого оборудования. Однако бреши в устройствах Cisco и халатное отношение администраторов к конфигурированию «железа» позволили злоумышленникам с помощью SNMP проникнуть в сети ряда организаций.
Так, большую услугу хакерам оказало использование в настройках роутеров простых или заранее известных (устанавливаемых вендором по умолчанию) так называемых строк сообщества, знание которых позволяет стороннему злоумышленнику получать достаточно много информации о сети, находящейся «за маршрутизатором».
Воспользовавшись небезопасной настройкой SNMP, хакеры внедряли вредоносное ПО под названием Jaguar Tooth («Зуб ягуара»), которое собирало дополнительную информацию о сети и пересылало ее в адрес инициаторов атаки посредством протокола TFTP, а также оставляло бэкдор, позволявший кибершпионам продолжать наблюдение за целью.
Не «русскими хакерами» едиными
Cisco также во вторник, 18 апреля 2023 г., заявила о том, что русскоязычные хакерские группировки не единственные, кто совершает попытки проникновения в сети организаций по всему миру, а точкой входа в сетевую инфраструктуру далеко не всегда становится «железо» Cisco.
«Cisco глубоко обеспокоена ростом числа атак высокой сложности на сетевую инфраструктуру, наблюдаемых нами и подтверждаемых различными разведывательных организаций, который указывает на то, что спонсируемые государством акторы нацелены на маршрутизаторы и брандмауэры во всем мире», – заявил директор Cisco Talos Threat Intelligence Мэтт Олни (Matt Olney).
По словам Олни, возглавляемая им команда обнаружила инструмент для сканирования продукции «почти что 20» производителей маршрутизаторов и коммутаторов.
«Разумно заключить, что любая достаточно мощная национальная разведка будет прорабатывать и использовать возможности для компрометации коммуникационной инфраструктуры целей, вызывающих ее интерес», – отметил Олни.
Безопасность превыше всего
Как отметил в разговоре с The Register Джей Джей Каммингс (J.J. Cummings), руководитель группы Cisco Talos Threat Intelligence & Interdiction, определенная доля ответственности за уязвимость сетевой инфраструктуры лежит на ее операторах.
По словам специалиста, операторы заинтересованы в поддержании высокого уровня доступности рабочей среды для всех остальных сотрудников организации. В результате уязвимое оборудование может оставаться обделенным вниманием администратора в течение нескольких лет, ведь установка актуальных исправлений может быть сопряжена с риском возникновения перебоев внутренних систем, работа которых ранее была хорошо отлажена.
Впрочем, Cisco порой сама отказывается закрывать бреши в морально устаревшем оборудовании. В январе 2023 г. стало известно, что доживать век «непропатченными» от опасной уязвимости будут маршрутизаторы моделей RV016, RV042, RV042G и RV082.
Cisco покинула Россию в начале марта 2022 г.
Короткая ссылка
