Центр национальной компьютерной безопасности Великобритании (NCSC-UK), АНБ, CISA и ФБР опубликовали совместный бюллетень , в котором изложено, как группировка APT28 в 2021 году использовала уязвимые маршрутизаторы Cisco для развёртывания специального вредоносного ПО на неисправленных устройствах.
В 2021 году APT28 (STRONTIUM, Fancy Bear, Sednit и Sofacy) использовала инфраструктуру для имитации доступа по протоколу Simple Network Management Protocol (SNMP) к маршрутизаторам Cisco по всему миру. Кампания затронула маршрутизаторы, расположенные в европейских и госучреждениях США, а также около 250 пользователей.
Хакеры использовали уязвимость CVE-2017-6742 для развертывания вредоносного ПО под названием “Jaguar Tooth”. После установки вредоносная программа извлекает информацию из маршрутизатора и предоставляет несанкционированный бэкдор-доступ к устройству.
Jaguar Tooth позволяет злоумышленникам получить неавторизованный доступ к локальным учетным записям при подключении через Telnet или физический сеанс. Кроме того, Jaguar Tooth создает новый процесс под названием “Service Policy Lock”, который собирает выходные данные следующих CLI-команд и передает их TFTP-протоколу:
- show running-config;
- show version;
- show ip interface brief;
- show arp;
- show cdp neighbors;
- show start;
- show ip route;
- show flash.
Бюллетень важен тем, что он привлекает внимание к формирующейся модели, когда правительственные хакеры создают специальное вредоносное ПО для сетевых устройств для осуществления кибершпионажа и наблюдения.
По мере того, как корпоративный сетевой трафик проходит через уязвимые устройства, маршрутизаторы становятся прибыльной целью для злоумышленников, которые могут просматривать сетевой трафик и эксфильтровать учетные данные для более глубокого доступа в сеть.
Поэтому Cisco призываетадминистраторов исправить свои уязвимые устройства как можно скорее. Специалисты также рекомендуют переключиться с SNMP на NETCONF/RESTCONF для удаленного администрирования – это увеличит защиту и функциональность. Кроме того, CISA рекомендует отключать SNMP v2 или Telnet на маршрутизаторах Cisco, поскольку эти протоколы могут позволить украсть учетные данные из незашифрованного трафика.