АНБ и ФБР рассказали, как хакеры APT28 взламывают уязвимые устройства Cisco для установки шпионского ПО

АНБ и ФБР рассказали, как хакеры APT28 взламывают уязвимые устройства Cisco для установки шпионского ПО

Многочисленные инциденты показывают важность своевременного обновления прошивки.

image

Центр национальной компьютерной безопасности Великобритании (NCSC-UK), АНБ, CISA и ФБР опубликовали совместный бюллетень , в котором изложено, как группировка APT28 в 2021 году использовала уязвимые маршрутизаторы Cisco для развёртывания специального вредоносного ПО на неисправленных устройствах.

В 2021 году APT28 (STRONTIUM, Fancy Bear, Sednit и Sofacy) использовала инфраструктуру для имитации доступа по протоколу Simple Network Management Protocol (SNMP) к маршрутизаторам Cisco по всему миру. Кампания затронула маршрутизаторы, расположенные в европейских и госучреждениях США, а также около 250 пользователей.

Хакеры использовали уязвимость CVE-2017-6742 для развертывания вредоносного ПО под названием «Jaguar Tooth». После установки вредоносная программа извлекает информацию из маршрутизатора и предоставляет несанкционированный бэкдор-доступ к устройству.

Jaguar Tooth позволяет злоумышленникам получить неавторизованный доступ к локальным учетным записям при подключении через Telnet или физический сеанс. Кроме того, Jaguar Tooth создает новый процесс под названием «Service Policy Lock», который собирает выходные данные следующих CLI-команд и передает их TFTP-протоколу:

  • show running-config;
  • show version;
  • show ip interface brief;
  • show arp;
  • show cdp neighbors;
  • show start;
  • show ip route;
  • show flash.

Бюллетень важен тем, что он привлекает внимание к формирующейся модели, когда правительственные хакеры создают специальное вредоносное ПО для сетевых устройств для осуществления кибершпионажа и наблюдения.

По мере того, как корпоративный сетевой трафик проходит через уязвимые устройства, маршрутизаторы становятся прибыльной целью для злоумышленников, которые могут просматривать сетевой трафик и эксфильтровать учетные данные для более глубокого доступа в сеть.

Поэтому Cisco призывает администраторов исправить свои уязвимые устройства как можно скорее. Специалисты также рекомендуют переключиться с SNMP на NETCONF/RESTCONF для удаленного администрирования – это увеличит защиту и функциональность. Кроме того, CISA рекомендует отключать SNMP v2 или Telnet на маршрутизаторах Cisco, поскольку эти протоколы могут позволить украсть учетные данные из незашифрованного трафика.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену