به گفته دولت های ایالات متحده و بریتانیا، APT28، یک گروه هکری تحت حمایت دولتی که توسط اطلاعات نظامی روسیه اداره می شود، از یک آسیب پذیری شش ساله در روترهای سیسکو برای استقرار بدافزار و نظارت بر آن استفاده می کند.
در مشاوره مشترکی که روز سهشنبه منتشر شد، آژانس امنیت سایبری ایالات متحده CISA به همراه FBI، NSA و مرکز امنیت سایبری ملی بریتانیا نحوه سوء استفاده هکرهای مورد حمایت روسیه از آسیبپذیریهای روتر سیسکو در طول سال 2021 را با هدف هدف قرار دادن سازمانهای اروپایی و دولت ایالات متحده توضیح دادند. نهادها در این توصیه نامه آمده است که هکرها همچنین «تقریباً 250 قربانی اوکراینی» را هک کردند که آژانسها نامی از آنها نبردند.
APT28 که با نام Fancy Bear نیز شناخته میشود، بهخاطر انجام طیف وسیعی از حملات سایبری، جاسوسی، و عملیاتهای اطلاعاتی هک و افشای از طرف دولت روسیه شناخته میشود.
بر اساس این مشاوره مشترک، هکرها از یک آسیب پذیری قابل بهره برداری از راه دور که توسط سیسکو در سال 2017 وصله شده بود برای استقرار یک بدافزار سفارشی به نام “دندان جگوار” که برای آلوده کردن روترهای اصلاح نشده طراحی شده است، سوء استفاده کردند.
برای نصب بدافزار، عوامل تهدید با استفاده از رشته جامعه SNMP پیش فرض یا قابل حدس زدن آسان، روترهای سیسکو را که در اینترنت قرار دارند، اسکن می کنند.
SNMP یا پروتکل مدیریت شبکه ساده، به مدیران شبکه اجازه می دهد تا از راه دور به روترها دسترسی داشته باشند و به جای نام کاربری یا رمز عبور آن را پیکربندی کنند، اما همچنین می تواند برای به دست آوردن اطلاعات حساس شبکه مورد سوء استفاده قرار گیرد.
به گفته آژانسها، پس از نصب، بدافزار اطلاعات را از روتر استخراج میکند و دسترسی مخفیانه به درب پشتی را به دستگاه ارائه میکند.
مت اولنی، مدیر اطلاعات تهدید در Cisco Talos، در یک پست وبلاگی گفت که این کمپین نمونه ای از “روند بسیار گسترده تر از دشمنان پیچیده است که زیرساخت های شبکه را برای پیشبرد اهداف جاسوسی یا پیشبرد فعالیت های مخرب آینده هدف قرار می دهند.”
سیسکو عمیقاً نگران افزایش نرخ حملات پیشرفته به زیرساختهای شبکه است – که ما مشاهده کردهایم و گزارشهای متعدد منتشر شده توسط سازمانهای اطلاعاتی مختلف را تایید کردهایم – که نشان میدهد بازیگران تحت حمایت دولت روترها و فایروالها را در سطح جهانی هدف قرار میدهند. اولنی گفت.
اولنی افزود که علاوه بر روسیه، چین نیز در چندین کمپین در حال حمله به تجهیزات شبکه دیده شده است.
در اوایل سال جاری، Mandiant گزارش داد که مهاجمان مورد حمایت دولت چین از یک آسیبپذیری روز صفر در دستگاههای Fortinet برای انجام یک سری حملات به سازمانهای دولتی سوء استفاده کردند.