米国と英国の政府によると、ロシアの軍事情報機関が運営する国家支援のハッキング グループである APT28 は、Cisco ルーターの 6 年前の脆弱性を悪用して、マルウェアを展開し、監視を実行しています。
で 共同勧告 火曜日に発行された米国のサイバーセキュリティ機関である CISA は、FBI、NSA、および英国の National Cyber Security Center とともに、ロシアが支援するハッカーが 2021 年を通じて Cisco ルーターの脆弱性を悪用し、欧州の組織や米国政府機関を標的にした方法を詳述しています。 勧告は、ハッカーが「約 250 人のウクライナ人被害者」もハッキングしたと述べたが、当局は名前を挙げていない。
Fancy Bear としても知られる APT28 は、ロシア政府に代わって、さまざまなサイバー攻撃、スパイ活動、およびハッキングとリークによる情報操作を実行することで知られています。
共同勧告によると、ハッカーは悪用した リモートで悪用可能な脆弱性 2017 年に Cisco によってパッチが適用され、パッチが適用されていないルーターに感染するように設計された「Jaguar Tooth」と呼ばれるカスタムビルドのマルウェアが展開されました。
マルウェアをインストールするために、攻撃者は、デフォルトまたは推測しやすい SNMP コミュニティ ストリングを使用して、インターネットに接続された Cisco ルーターをスキャンします。
SNMP (Simple Network Management Protocol) を使用すると、ネットワーク管理者は、ユーザー名やパスワードの代わりにリモートでルーターにアクセスして構成できますが、悪用されて機密のネットワーク情報が取得される可能性もあります。
インストールされると、マルウェアはルーターから情報を盗み出し、デバイスへのステルスなバックドア アクセスを提供します。
Cisco Talos の脅威インテリジェンス担当ディレクターである Matt Olney は、次のように述べています。 ブログ投稿で このキャンペーンは、「洗練された攻撃者がネットワーキング インフラストラクチャを標的にして、スパイ活動の目的を前進させたり、将来の破壊活動の準備を整えたりする、より広範なトレンド」の一例です。
「シスコは、ネットワーク インフラストラクチャに対する高度な攻撃の割合が増加していることを深く懸念しています。これは、さまざまな諜報機関によって発行された多数のレポートによって裏付けられており、国家が支援する攻撃者が世界中のルーターとファイアウォールを標的にしていることを示しています。」オルニーは言った。
オルニー氏は、ロシアに加えて、中国もいくつかのキャンペーンでネットワーク機器を攻撃しているのを発見したと付け加えた。
今年の初め、Mandiant 報告 中国政府が支援する攻撃者が、フォーティネット デバイスのゼロデイ脆弱性を悪用して、政府機関に対して一連の攻撃を実行したことを明らかにしました。