هکرهای روسی از نقص شش ساله سیسکو برای هدف قرار دادن سازمان های دولتی آمریکا سوء استفاده می کنند

به گفته دولت های ایالات متحده و بریتانیا، APT28، یک گروه هکری تحت حمایت دولتی که توسط اطلاعات نظامی روسیه اداره می شود، از یک آسیب پذیری شش ساله در روترهای سیسکو برای استقرار بدافزار و نظارت بر آن استفاده می کند.

در مشاوره مشترکی که روز سه‌شنبه منتشر شد، آژانس امنیت سایبری ایالات متحده CISA به همراه FBI، NSA و مرکز امنیت سایبری ملی بریتانیا نحوه سوء استفاده هکرهای مورد حمایت روسیه از آسیب‌پذیری‌های روتر سیسکو در طول سال 2021 را با هدف هدف قرار دادن سازمان‌های اروپایی و دولت ایالات متحده توضیح دادند. نهادها در این توصیه نامه آمده است که هکرها همچنین «تقریباً 250 قربانی اوکراینی» را هک کردند که آژانس‌ها نامی از آنها نبردند.

APT28 که با نام Fancy Bear نیز شناخته می‌شود، به‌خاطر انجام طیف وسیعی از حملات سایبری، جاسوسی، و عملیات‌های اطلاعاتی هک و افشای از طرف دولت روسیه شناخته می‌شود.

بر اساس این مشاوره مشترک، هکرها از یک آسیب پذیری قابل بهره برداری از راه دور که توسط سیسکو در سال 2017 وصله شده بود برای استقرار یک بدافزار سفارشی به نام “دندان جگوار” که برای آلوده کردن روترهای اصلاح نشده طراحی شده است، سوء استفاده کردند.

برای نصب بدافزار، عوامل تهدید با استفاده از رشته جامعه SNMP پیش فرض یا قابل حدس زدن آسان، روترهای سیسکو را که در اینترنت قرار دارند، اسکن می کنند.

SNMP یا پروتکل مدیریت شبکه ساده، به مدیران شبکه اجازه می دهد تا از راه دور به روترها دسترسی داشته باشند و به جای نام کاربری یا رمز عبور آن را پیکربندی کنند، اما همچنین می تواند برای به دست آوردن اطلاعات حساس شبکه مورد سوء استفاده قرار گیرد.

به گفته آژانس‌ها، پس از نصب، بدافزار اطلاعات را از روتر استخراج می‌کند و دسترسی مخفیانه به درب پشتی را به دستگاه ارائه می‌کند.

مت اولنی، مدیر اطلاعات تهدید در Cisco Talos، در یک پست وبلاگی گفت که این کمپین نمونه ای از “روند بسیار گسترده تر از دشمنان پیچیده است که زیرساخت های شبکه را برای پیشبرد اهداف جاسوسی یا پیشبرد فعالیت های مخرب آینده هدف قرار می دهند.”

سیسکو عمیقاً نگران افزایش نرخ حملات پیشرفته به زیرساخت‌های شبکه است – که ما مشاهده کرده‌ایم و گزارش‌های متعدد منتشر شده توسط سازمان‌های اطلاعاتی مختلف را تایید کرده‌ایم – که نشان می‌دهد بازیگران تحت حمایت دولت روترها و فایروال‌ها را در سطح جهانی هدف قرار می‌دهند. اولنی گفت.

اولنی افزود که علاوه بر روسیه، چین نیز در چندین کمپین در حال حمله به تجهیزات شبکه دیده شده است.

در اوایل سال جاری، Mandiant گزارش داد که مهاجمان مورد حمایت دولت چین از یک آسیب‌پذیری روز صفر در دستگاه‌های Fortinet برای انجام یک سری حملات به سازمان‌های دولتی سوء استفاده کردند.