ABD ve İngiltere hükümetlerine göre, Rus askeri istihbaratı tarafından işletilen devlet destekli bir bilgisayar korsanlığı grubu olan APT28, kötü amaçlı yazılım dağıtmak ve gözetim gerçekleştirmek için Cisco yönlendiricilerindeki altı yıllık bir güvenlik açığından yararlanıyor.
İçinde ortak danışma Salı günü yayınlanan ABD siber güvenlik ajansı CISA, FBI, NSA ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi ile birlikte Rusya destekli bilgisayar korsanlarının 2021 yılı boyunca Avrupa kuruluşlarını ve ABD devlet kurumlarını hedef almak amacıyla Cisco yönlendirici güvenlik açıklarından nasıl yararlandığını ayrıntılarıyla anlatıyor. Danışmanlık, bilgisayar korsanlarının ajansların adını vermediği “yaklaşık 250 Ukraynalı kurbanı” da hacklediğini söyledi.
Fancy Bear olarak da bilinen APT28, Rus hükümeti adına bir dizi siber saldırı, casusluk ve hack-and-leak bilgi operasyonları gerçekleştirmesiyle tanınır.
Ortak danışma belgesine göre, bilgisayar korsanları uzaktan istismar edilebilir bir güvenlik açığı 2017’de Cisco tarafından, yama uygulanmamış yönlendiricileri etkilemek üzere tasarlanmış “Jaguar Tooth” adlı özel olarak oluşturulmuş bir kötü amaçlı yazılımı dağıtmak için yamalandı.
Kötü amaçlı yazılımı yüklemek için tehdit aktörleri, varsayılan veya tahmin etmesi kolay SNMP topluluk dizesini kullanarak internete bakan Cisco yönlendiricilerini tarar.
SNMP veya Basit Ağ Yönetimi Protokolü, ağ yöneticilerinin bir kullanıcı adı veya parola yerine yönlendiricilere uzaktan erişmesine ve yapılandırmasına olanak tanır, ancak hassas ağ bilgilerini elde etmek için de kötüye kullanılabilir.
Ajanslar, kötü amaçlı yazılımın yüklendikten sonra yönlendiriciden bilgi sızdırdığını ve cihaza gizli arka kapı erişimi sağladığını söyledi.
Cisco Talos’ta tehdit istihbaratı direktörü Matt Olney, şunları söyledi: bir blog yazısında bu kampanya, “casusluk hedeflerini ilerletmek veya gelecekteki yıkıcı faaliyetler için önceden konumlanmak üzere ağ altyapısını hedefleyen çok daha geniş bir sofistike düşman eğilimi” örneğidir.
“Cisco, devlet destekli aktörlerin küresel olarak yönlendiricileri ve güvenlik duvarlarını hedef aldığını gösteren çeşitli istihbarat örgütleri tarafından yayınlanan çok sayıda raporla gözlemlediğimiz ve doğruladığımız, ağ altyapısına yönelik yüksek karmaşıklıktaki saldırıların oranındaki artıştan derin endişe duyuyor.” Olney dedi.
Olney, Rusya’ya ek olarak Çin’in de çeşitli kampanyalarda ağ ekipmanlarına saldırdığının tespit edildiğini sözlerine ekledi.
Bu yılın başlarında, Mandiant bildirildi Çin devleti destekli saldırganların Fortinet cihazlarındaki sıfırıncı gün güvenlik açığından yararlanarak devlet kurumlarına bir dizi saldırı gerçekleştirdiğini.