Российские хакеры используют уязвимость Cisco шестилетней давности, чтобы атаковать правительственные учреждения США.
По данным правительств США и Великобритании, APT28, спонсируемая государством хакерская группа, управляемая российской военной разведкой, использует уязвимость шестилетней давности в маршрутизаторах Cisco для распространения вредоносного ПО и осуществления слежки.
в совместный консультант Во вторник агентство кибербезопасности США CISA вместе с ФБР, Агентством национальной безопасности и Национальным центром кибербезопасности Великобритании опубликовало подробную информацию о том, как поддерживаемые Россией хакеры использовали уязвимости маршрутизаторов Cisco в течение 2021 года с целью атаковать европейские организации и правительственные учреждения США. . В предупреждении говорилось, что хакеры также взломали «около 250 украинских жертв», имена которых агентства не назвали.
APT28, также известный как модный медведьизвестный выполнение ряда Атака на кафеИ шпионитьИ Операции по взлому и утечке информации От имени правительства России.
Согласно совместной консультации, он воспользовался пиратами Удаленная уязвимость Он был исправлен Cisco в 2017 году для распространения специально разработанного вредоносного ПО под кодовым названием Jaguar Tooth, предназначенного для заражения непропатченных маршрутизаторов.
Чтобы установить вредоносное ПО, злоумышленники сканируют маршрутизаторы Cisco с выходом в Интернет, используя стандартную или легко угадываемую строку сообщества SNMP.
SNMP, или простой протокол управления сетью, позволяет сетевым администраторам удаленно получать доступ и настраивать маршрутизаторы вместо имени пользователя или пароля, но его также можно использовать не по назначению для получения конфиденциальной информации о сети.
По словам агентств, после установки вредоносное ПО извлекает информацию из маршрутизатора и обеспечивает скрытый доступ к устройству.
сказал Мэтт Олни, директор по анализу угроз в Cisco Talos в сообщении в блоге Эта кампания является примером «гораздо более широкой тенденции, когда изощренные злоумышленники нацеливаются на сетевую инфраструктуру для дальнейшего шпионажа или подготовки будущих разрушительных действий».
«Cisco очень обеспокоена увеличением числа изощренных атак на сетевую инфраструктуру, которые мы наблюдали и подтверждали многочисленные отчеты различных разведывательных организаций, что указывает на то, что спонсируемые государством субъекты нацелены на маршрутизаторы и брандмауэры во всем мире», — сказал он. — сказал Олни.
Олни добавил, что в ходе нескольких кампаний атак на сетевое оборудование был замечен не только Россией, но и Китаем.
Ранее в этом году Mandiant упомянул Злоумышленники, поддерживаемые Китаем, использовали уязвимость нулевого дня в компьютерах Fortinet, чтобы провести серию атак на правительственные организации.