APT28 grupa cilja ranjive Cisco rutere
Sigurnosni istraživači su primijetili da APT28 grupa cilja ranjive Cisco rutere, iskorišćavanjem ne ažurirane ranjivosti, kako bi dobili pristup ciljnom uređaju bez ikakve autentifikacije.
APT28 grupa cilja ranjive Cisco rutere; Dizajn: Saša Đurić
APT28
Napredna trajna prijetnja (eng. Advanced persistent threat – APT) je najkompleksnija vrsta sajber napada. Ovi napadi obično podrazumijevaju grupe sponzorisane od strane države ili dobro organizovanih kriminalnih udruženja, koje ciljaju veoma vrijedne sisteme i podatke.
APT28 je hakerska grupa poznata i kao Fancy Bear, Strontium, Pawn Storm, Sednit Gang ili Sofacy, za koju sigurnosni istraživači kažu da je sponzorisana od strane Rusije i da je povezana da Glavnom obavještajnom upravom ruskog generalštaba (rus. Главное разведывательное управление – ГРУ), odnosno povezuje se sa vojnom jedinicom 26165.
APT28 je hakerska grupa koja sigurno djeluje od 2008. godine (a možda i ranije) i predstavlja stalnu prijetnju za širok spektar organizacija širom sveta. Mete ove grupu su vazduhoplovstvo, odbrana, energetika, vlade, mediji i disidenti, uz upotrebu sofisticiranog i višeplatformskog implanta.
Grupa je poznata po tome što koristi napredni zlonamjerni softver i napredne tehnike hakovanja kako bi dobila pristup resursima svojih meta. Pored toga, ona je još poznata po tome što često inficira Internet lokacije za koje zna da ih njihove mete često posjećuju, a upotrebljava i taktiku korištenja legitimnih alata i infrastrukture prisutne u sistemu žrtve napada kako bi se uspješno kretala i izbjegavala otkrivanje.
Prilagođeni zlonamjerni softvera
APT28 iskorištava staru ranjivost označenu kao CVE-2017-6742 (CVSS rezultat: 8,8, visok). CVE-2017-6742 je ranjivost omogućava daljinsko izvršavanje kôda u Cisco IOS i IOS KSE softveru uzrokovana prelivom bafera u protokolu Simple Netvork Management Protocol (SNMP) podsistema. Napadači koriste ovu ranjivost da primjeni zlonamjerni softver pod nazivom Jaguar Tooth (Zub Jaguara) na Cisco ruterima.
Ovaj zlonamjerni softver cilja Cisco rutere koji koriste zastareli upravljački softver, (eng. firmware) tako što direktno inficira njihovu memoriju. Zlonamjerni softver Jaguar Tooth izvlači podatke iz kompromitovanog rutera i omogućava neovlašteni pristup kreiranjem zadnjih vrata (eng. backdoor).
Zlonamjerni softver instaliran na zaraženim ruterima modifikuje mehanizam prijave korisnika na uređaj, omogućujući da se prihvati bilo koja lozinka za bilo kog lokalnog korisnika, što omogućava neovlašten pristup uređaju. Zlonamjerni softver je nepostojan, tako da ne može da preživi ponovno pokretanje uređaja, ali može da prikuplja informacije i napravi zdanja vrata za pristup napadača uređaju.
Zaštita
Kako bi se korisnici zaštitili od ovih napada, administratori bi pre svega trebalo da ažuriraju rutere na zadnju dostupnu verziju. Pored toga, za daljinsko upravljanje na javnim ruterima, trebalo bi umjesto SNMP koristiti NETCONF/RESTCONF, kako bi se poboljšala bezbjednost i funkcionalnost. Ako nije moguće izbjeći korištenje SNMP protokola, preporučuje se definisanje liste dozvoljenih i odbijenih i ograničavanje pristupa SNMP interfejsu na izloženim ruterima.
