{"id":4735,"date":"2023-04-22T10:33:07","date_gmt":"2023-04-22T08:33:07","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4735"},"modified":"2023-04-22T10:33:07","modified_gmt":"2023-04-22T08:33:07","slug":"apt28-grupa-cilja-ranjive-cisco-rutere","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/04\/22\/apt28-grupa-cilja-ranjive-cisco-rutere\/","title":{"rendered":"APT28 grupa cilja ranjive Cisco rutere"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su <a href=\"https:\/\/www.ncsc.gov.uk\/news\/apt28-exploits-known-vulnerability-to-carry-out-reconnaissance-and-deploy-malware-on-cisco-routers\" target=\"_blank\" rel=\"noopener\">primijetili<\/a> da <em>APT28<\/em> grupa cilja ranjive <em>Cisco<\/em> rutere, iskori\u0161\u0107avanjem ne a\u017eurirane <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-6742\" target=\"_blank\" rel=\"noopener\">ranjivosti<\/a>, kako bi dobili pristup ciljnom ure\u0111aju bez ikakve autentifikacije.<\/span><\/p>\n<div id=\"attachment_4737\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4737\" class=\"size-full wp-image-4737\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/APT28-Hackers.jpg\" alt=\"APT28 grupa\" width=\"1024\" height=\"600\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/APT28-Hackers.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/APT28-Hackers-300x176.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/APT28-Hackers-768x450.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/APT28-Hackers-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4737\" class=\"wp-caption-text\"><em>APT28 grupa cilja ranjive Cisco rutere; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<h2><span style=\"font-size: 14pt;\"><strong><em>APT28<\/em><\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2020\/12\/08\/apt-sponzorisani-napadi\/\" target=\"_blank\" rel=\"nofollow noopener\">Napredna trajna prijetnja<\/a> (eng. <em>Advanced persistent threat \u2013 APT<\/em>) je najkompleksnija vrsta sajber napada. Ovi napadi obi\u010dno podrazumijevaju grupe sponzorisane od strane dr\u017eave ili dobro organizovanih kriminalnih udru\u017eenja, koje ciljaju veoma vrijedne sisteme i podatke.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>APT28<\/em> je hakerska grupa poznata i kao <em>Fancy<\/em> <em>Bear<\/em>, <em>Strontium<\/em>, <em>Pawn<\/em> <em>Storm<\/em>, <em>Sednit<\/em> <em>Gang<\/em> ili <\/span><span style=\"font-size: 14pt;\"><em>Sofacy<\/em>, za koju sigurnosni istra\u017eiva\u010di ka\u017eu da je sponzorisana od strane Rusije i da je povezana da Glavnom obavje\u0161tajnom upravom ruskog general\u0161taba (rus. <em>\u0413\u043b\u0430\u0432\u043d\u043e\u0435 \u0440\u0430\u0437\u0432\u0435\u0434\u044b\u0432\u0430\u0442\u0435\u043b\u044c\u043d\u043e\u0435 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u2013 \u0413\u0420\u0423<\/em>), odnosno povezuje se sa vojnom jedinicom 26165.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>APT28<\/em> je hakerska grupa koja sigurno djeluje od 2008. godine (a mo\u017eda i ranije) i predstavlja stalnu prijetnju za \u0161irok spektar organizacija \u0161irom sveta. Mete ove grupu su vazduhoplovstvo, odbrana, energetika, vlade, mediji i disidenti, uz upotrebu sofisticiranog i vi\u0161eplatformskog implanta.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Grupa je poznata po tome \u0161to koristi napredni zlonamjerni softver i napredne tehnike hakovanja kako bi dobila pristup resursima svojih meta. Pored toga, ona je jo\u0161 poznata po tome \u0161to \u010desto inficira Internet lokacije za koje zna da ih njihove mete \u010desto posje\u0107uju, a upotrebljava i taktiku kori\u0161tenja legitimnih alata i infrastrukture prisutne u sistemu \u017ertve napada kako bi se uspje\u0161no kretala i izbjegavala otkrivanje.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span style=\"font-size: 14pt;\"><strong>Prilago\u0111eni zlonamjerni softvera<\/strong><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>APT28<\/em> iskori\u0161tava staru ranjivost ozna\u010denu kao <em>CVE-2017-6742<\/em> (<em>CVSS<\/em> rezultat: 8,8, visok). <em>CVE-2017-6742<\/em> je ranjivost omogu\u0107ava daljinsko izvr\u0161avanje k\u00f4da u <em>Cisco IOS<\/em> i <em>IOS KSE<\/em> softveru uzrokovana prelivom bafera u protokolu <em>Simple Netvork Management Protocol<\/em> (<em>SNMP<\/em>) podsistema. Napada\u010di koriste ovu ranjivost da primjeni <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjerni softver<\/a> pod nazivom <em>Jaguar<\/em> <em>Tooth<\/em> (Zub Jaguara) na <em>Cisco<\/em> ruterima.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj zlonamjerni softver cilja <em>Cisco<\/em> rutere koji koriste zastareli upravlja\u010dki softver, (eng. <em>firmware<\/em>) tako \u0161to direktno inficira njihovu memoriju. Zlonamjerni softver <em>Jaguar<\/em> <em>Tooth<\/em> izvla\u010di podatke iz kompromitovanog rutera i omogu\u0107ava neovla\u0161teni pristup kreiranjem <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/backdoor\/\" target=\"_blank\" rel=\"nofollow noopener\">zadnjih vrata<\/a> (eng. <em>backdoor<\/em>).<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni softver instaliran na zara\u017eenim ruterima modifikuje mehanizam prijave korisnika na ure\u0111aj, omogu\u0107uju\u0107i da se prihvati bilo koja <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinka<\/a> za bilo kog lokalnog korisnika, \u0161to omogu\u0107ava neovla\u0161ten pristup ure\u0111aju. Zlonamjerni softver je nepostojan, tako da ne mo\u017ee da pre\u017eivi ponovno pokretanje ure\u0111aja, ali mo\u017ee da prikuplja informacije i napravi zdanja vrata za pristup napada\u010da ure\u0111aju.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong>Za\u0161tita<\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\">Kako bi se korisnici za\u0161titili od ovih napada, administratori bi pre svega trebalo da a\u017euriraju rutere na zadnju dostupnu verziju. Pored toga, za daljinsko upravljanje na javnim ruterima, trebalo bi umjesto <em>SNMP<\/em> koristiti <em>NETCONF<\/em>\/<em>RESTCONF<\/em>, kako bi se pobolj\u0161ala bezbjednost i funkcionalnost. Ako nije mogu\u0107e izbje\u0107i kori\u0161tenje <em>SNMP<\/em> protokola, preporu\u010duje se definisanje liste dozvoljenih i odbijenih i ograni\u010davanje pristupa <em>SNMP<\/em> interfejsu na izlo\u017eenim ruterima.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Sigurnosni istra\u017eiva\u010di su primijetili da APT28 grupa cilja ranjive Cisco rutere, iskori\u0161\u0107avanjem ne a\u017eurirane ranjivosti, kako bi dobili pristup ciljnom ure\u0111aju bez ikakve autentifikacije. APT28 Napredna trajna prijetnja (eng. Advanced persistent threat \u2013 APT)&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4737,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[62,351,142,352,354,93,64,353],"class_list":["post-4735","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-apt","tag-apt28","tag-backdoor","tag-cisco","tag-fancy-bear","tag-malware","tag-sajber-prijetnja","tag-snmp"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4735","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4735"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4735\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4737"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4735"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4735"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4735"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}