据美国和英国政府称,APT28 是一个由俄罗斯军事情报部门运营的国家支持的黑客组织,它正在利用 Cisco 路由器中存在六年之久的漏洞来部署恶意软件并进行监视。
在周二发布的一份联合咨询报告中,美国网络安全机构 CISA 与 FBI、美国国家安全局和英国国家网络安全中心详细说明了俄罗斯支持的黑客如何在 2021 年全年利用思科路由器漏洞,目的是针对欧洲组织和美国政府机构。该公告称,黑客还攻击了“大约 250 名乌克兰受害者”,这些机构没有透露具体姓名。
APT28,也称为Fancy Bear ,以代表俄罗斯政府进行一系列网络攻击、间谍活动和黑客攻击和泄露信息行动而闻名。
根据联合公告,黑客利用思科在 2017 年修补的一个远程可利用漏洞部署了一种名为“Jaguar Tooth”的定制恶意软件,该恶意软件旨在感染未打补丁的路由器。
为了安装恶意软件,威胁参与者使用默认或易于猜测的 SNMP 社区字符串扫描面向互联网的思科路由器。
SNMP,即简单网络管理协议,允许网络管理员远程访问和配置路由器而不是用户名或密码,但也可能被滥用来获取敏感的网络信息。
这些机构表示,一旦安装,恶意软件就会从路由器中泄露信息,并提供对设备的隐秘后门访问。
思科 Talos 的威胁情报主管马特·奥尔尼 (Matt Olney) 在一篇博文中表示,这次活动是“更广泛的趋势,老练的对手将网络基础设施作为目标,以推进间谍活动目标或为未来的破坏性活动做好准备”。
“思科对网络基础设施的高复杂性攻击率的增加深感担忧——我们已经观察到这一点,并得到了各种情报组织发布的大量报告的证实——表明国家支持的攻击者正在全球范围内瞄准路由器和防火墙,”奥尔尼说。
奥尔尼补充说,除了俄罗斯,中国也被发现在数次攻击活动中攻击网络设备。
今年早些时候,Mandiant报道说,中国政府支持的攻击者利用 Fortinet 设备中的一个零日漏洞对政府组织进行了一系列攻击。