Birleşik Krallık ve ABD siber güvenlik ve istihbarat teşkilatları, uyardı Keşif yapmak için Cisco’nun ağ ekipmanındaki artık yamalanmış kusurları kullanan Rus ulus-devlet aktörlerinin kötü amaçlı yazılım dağıtmak seçili hedeflere karşı
bu izinsiz girişlerYetkililere göre, 2021’de gerçekleşti ve Avrupa’daki az sayıda kuruluşu, ABD hükümet kurumlarını ve yaklaşık 250 Ukraynalı kurbanı hedef aldı.
Faaliyet, Fancy Bear, Forest Blizzard (eski adıyla Strontium), FROZENLAKE ve Sofacy olarak da bilinen ve Rusya Genelkurmay Ana İstihbarat Müdürlüğü’ne (GRU) bağlı APT28 olarak izlenen bir tehdit aktörüne atfedildi.
Ulusal Siber Güvenlik Merkezi (NCSC), “APT28’in varsayılan ve zayıf SNMP topluluk dizelerini kullanarak ve CVE-2017-6742’den yararlanarak savunmasız yönlendiricilere eriştiği biliniyor.”
CVE-2017-6742 (CVSS puanı: 8.8), bir dizi uzaktan kod yürütme hatasının bir parçasıdır. tampon taşma durumu Basit Ağ Yönetimi Protokolünde (SNMP) Cisco IOS ve IOS XE yazılımındaki alt sistem.
Teşkilatlar tarafından gözlemlenen saldırılarda, tehdit aktörü, cihaz bilgilerini toplayabilen ve kimliği doğrulanmamış arka kapı erişimini etkinleştirebilen Jaguar Tooth adlı kalıcı olmayan bir kötü amaçlı yazılımı Cisco yönlendiricilerine dağıtmak için güvenlik açığını silahlandırdı.
Sorunlar Haziran 2017’de Cisco tarafından yamalanırken, o zamandan beri 11 Ocak 2018 itibarıyla kamuya açık hale geldi ve saldırı yüzeyini sınırlamak için güçlü yama yönetimi uygulamalarına duyulan ihtiyacın altını çizdi.
Şirket, potansiyel tehditleri azaltmak için en son üretici yazılımına güncelleme yapmanın yanı sıra, kullanıcıların SNMP’den NETCONF’a veya RESTCONF’a ağ yönetimi için.
Cisco Talos, koordineli bir danışma belgesinde, saldırıların bir daha geniş kampanya çeşitli satıcıların eskiyen ağ araçlarına ve yazılımlarına karşı “ileri casusluk hedefleri veya gelecekteki yıkıcı faaliyetler için ön konumlandırma”.
Buna kötü amaçlı yazılımların bir altyapı cihazına yüklenmesi, ağ trafiğini gözetleme girişimleri ve “kimlik bilgilerini almak için TACACS+/RADIUS sunucularını hedefleyen dahili ortamlara önceden erişimi olan düşmanlar” tarafından yapılan saldırılar dahildir.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Cisco’da tehdit istihbaratı ve engelleme direktörü Matt Olney, “Rota/anahtar cihazları kararlıdır, nadiren güvenlik açısından incelenir, genellikle kötü bir şekilde yamalanır ve derin ağ görünürlüğü sağlar,” dedi.
“Hem sessiz kalmayı hem de önemli istihbarat yeteneklerine erişmeyi ve ayrıca tercih edilen bir ağda tutunmayı hedefleyen bir düşman için mükemmel bir hedef. Ulusal istihbarat teşkilatları ve dünya genelindeki devlet destekli aktörler, bir hedef olarak ağ altyapısına saldırdı. birincil tercih.”
Uyarı, ABD hükümetinin, en az 2020’den bu yana kamu ve özel sektör kuruluşlarını istismar etmek için ağ güvenlik açıklarından yararlanan Çin merkezli ulus devlet bilgisayar korsanlığı ekipleri hakkında alarm vermesinden aylar sonra geliyor.
Daha sonra bu yılın başlarında, Google’ın sahibi olduğu Mandiant, Çinli devlet destekli tehdit aktörlerinin savunmasız Fortinet ve SonicWall cihazlarına ısmarlama kötü amaçlı yazılım dağıtma çabalarını vurguladı.
“Gelişmiş siber casusluk tehdit aktörleri, özellikle desteklenmeyen teknolojiler olmak üzere bir hedef ortamı sürdürmek ve aşmak için mevcut tüm teknolojilerden yararlanıyor. [endpoint detection and response] çözümler,” dedi Mandiant.