19 Апреля 2023 09:32 19 Апр 2023 09:32 |

Поделиться

США и Англия бьют тревогу: «русские» внедряются в сети через древние «дыры» в роутерах Cisco

APT28 все еще использует уязвимости шестилетней давности в «железе» Cisco

Центр национальной компьютерной безопасности Великобритании, Агентство национальной безопасности США, Агентство по кибербезопасности и защите инфраструктуры США и Федеральное бюро расследований США опубликовали подробности, касающиеся кибератак хакеров из APT28 (FancyBear, Stronium, Sofacy, Pawn Storm), совершенных в 2021 г. с использованием давней уязвимости сетевого оборудования компании Cisco. Об этом сообщило издание The Register.

Целями русскоговорящей группировки, которой приписывают связь с российской разведкой, стали государственные структуры Европы, США и Украины, внедрение в компьютерные сети которых осуществлялось якобы для кибершпионажа.

Как отмечает The Register, APT28 знаменита, в частности, благодаря кибератаке на инфраструктуру Бундестага в 2015 г., почтовых серверов Национального комитета Демократической партии США в 2016 г. и Парламента Великобритании в 2017 г. Группировку также обвиняли в попытке проникновения в сеть Организации по запрещению химического оружия в апреле 2018 г., а также череде кибератак против Украины после начала СВО.

Техники, тактики и процедуры, описанные в опубликованном госорганизациями США и Великобритании материале, по мнению его авторов, могут до сих пор использоваться в атаках на уязвимые устройства Cisco.

Брешь с идентификатором CVE-2017-6742, упомянутая в материале, была обнаружена и устранена Cisco в 2017 г. Таким образом, в распоряжении владельцев уязвимого оборудования имелось почти шесть лет, чтобы установить устраняющие ее патчи.

SNMP и Jaguar Tooth

В серии атак, датируемых 2021 г., APT28 использовала протокол сетевого управления SNMP для получения доступа к маршрутизаторам Cisco в различных точках планеты. Этот протокол предназначен для удаленного мониторинга и настройки сетевого оборудования. Однако бреши в устройствах Cisco и халатное отношение администраторов к конфигурированию «железа» позволили злоумышленникам с помощью SNMP проникнуть в сети ряда организаций.

Так, большую услугу хакерам оказало использование в настройках роутеров простых или заранее известных (устанавливаемых вендором по умолчанию) так называемых строк сообщества, знание которых позволяет стороннему злоумышленнику получать достаточно много информации о сети, находящейся «за маршрутизатором».

Воспользовавшись небезопасной настройкой SNMP, хакеры внедряли вредоносное ПО под названием Jaguar Tooth («Зуб ягуара»), которое собирало дополнительную информацию о сети и пересылало ее в адрес инициаторов атаки посредством протокола TFTP, а также оставляло бэкдор, позволявший кибершпионам продолжать наблюдение за целью.

Не «русскими хакерами» едиными

Cisco также во вторник, 18 апреля 2023 г., заявила о том, что русскоязычные хакерские группировки не единственные, кто совершает попытки проникновения в сети организаций по всему миру, а точкой входа в сетевую инфраструктуру далеко не всегда становится «железо» Cisco.

«Cisco глубоко обеспокоена ростом числа атак высокой сложности на сетевую инфраструктуру, наблюдаемых нами и подтверждаемых различными разведывательных организаций, который указывает на то, что спонсируемые государством акторы нацелены на маршрутизаторы и брандмауэры во всем мире», – заявил директор Cisco Talos Threat Intelligence Мэтт Олни (Matt Olney).

8 задач, чтобы перезапустить инженерную школу в России

импортонезависимость

По словам Олни, возглавляемая им команда обнаружила инструмент для сканирования продукции «почти что 20» производителей маршрутизаторов и коммутаторов.

«Разумно заключить, что любая достаточно мощная национальная разведка будет прорабатывать и использовать возможности для компрометации коммуникационной инфраструктуры целей, вызывающих ее интерес», – отметил Олни.

Безопасность превыше всего

Как отметил в разговоре с The Register Джей Джей Каммингс (J.J. Cummings), руководитель группы Cisco Talos Threat Intelligence & Interdiction, определенная доля ответственности за уязвимость сетевой инфраструктуры лежит на ее операторах.

По словам специалиста, операторы заинтересованы в поддержании высокого уровня доступности рабочей среды для всех остальных сотрудников организации. В результате уязвимое оборудование может оставаться обделенным вниманием администратора в течение нескольких лет, ведь установка актуальных исправлений может быть сопряжена с риском возникновения перебоев внутренних систем, работа которых ранее была хорошо отлажена.

Впрочем, Cisco порой сама отказывается закрывать бреши в морально устаревшем оборудовании. В январе 2023 г. стало известно, что доживать век «непропатченными» от опасной уязвимости будут маршрутизаторы моделей RV016, RV042, RV042G и RV082.

Cisco покинула Россию в начале марта 2022 г.

Дмитрий Степанов

Поделиться

Подписаться на новости Короткая ссылка