O APT28, um grupo de hackers patrocinado pelo estado operado pela inteligência militar russa, está explorando uma vulnerabilidade de seis anos nos roteadores Cisco para implantar malware e realizar vigilância, de acordo com os governos dos EUA e do Reino Unido.
Em um comunicado conjunto divulgado na terça-feira, a agência de segurança cibernética dos EUA CISA, juntamente com o FBI, a NSA e o Centro Nacional de Segurança Cibernética do Reino Unido, detalham como os hackers apoiados pela Rússia exploraram as vulnerabilidades do roteador Cisco ao longo de 2021 com o objetivo de atingir organizações europeias e instituições governamentais dos EUA. . O comunicado disse que os hackers também hackearam “aproximadamente 250 vítimas ucranianas”, que as agências não identificaram.
O APT28, também conhecido como Fancy Bear , é conhecido por realizar uma série de ataques cibernéticos , espionagem e operações de hack-and-leaak de informações em nome do governo russo.
De acordo com o comunicado conjunto, os hackers exploraram uma vulnerabilidade explorável remotamente corrigida pela Cisco em 2017 para implantar um malware personalizado apelidado de “Jaguar Tooth”, projetado para infectar roteadores não corrigidos.
Para instalar o malware, os agentes de ameaças procuram roteadores Cisco voltados para a Internet usando uma string de comunidade SNMP padrão ou fácil de adivinhar.
O SNMP, ou Simple Network Management Protocol, permite que os administradores de rede acessem remotamente e configurem roteadores no lugar de um nome de usuário ou senha, mas também pode ser usado indevidamente para obter informações confidenciais da rede.
Uma vez instalado, o malware exfiltra informações do roteador e fornece acesso furtivo ao dispositivo, disseram as agências.
Matt Olney, diretor de inteligência de ameaças da Cisco Talos, disse em um blog que esta campanha é um exemplo de “uma tendência muito mais ampla de adversários sofisticados visando a infraestrutura de rede para avançar em objetivos de espionagem ou pré-posicionar para atividades destrutivas futuras”.
“A Cisco está profundamente preocupada com um aumento na taxa de ataques de alta sofisticação à infraestrutura de rede – que observamos e vimos corroborados por vários relatórios emitidos por várias organizações de inteligência – indicando que agentes patrocinados pelo estado estão visando roteadores e firewalls globalmente”, disse Olney.
Olney acrescentou que, além da Rússia, a China também foi flagrada atacando equipamentos de rede em várias campanhas.
No início deste ano, a Mandiant informou que invasores apoiados pelo estado chinês exploraram uma vulnerabilidade de dia zero nos dispositivos Fortinet para realizar uma série de ataques a organizações governamentais.
Fonte leia mais: https://techcrunch.com/2023/04/19/russian-hackers-exploit-six-year-old-cisco-flaw-to-target-us-government-agencies/
