Af Eskil Sørensen, 20/04/23
Den statssponsorerede hackergruppe APT28, der drives af russisk militær efterretningstjeneste, har udnyttet en seks år gammel sårbarhed i Cisco-routere til at implementere malware og udføre overvågning. Det skriver Tech Crunch og The Record på baggrund af en såkaldt joint advisory fra amerikanske og britiske myndigheder.
Det er det amerikanske cybersikkerhedsagentur CISA, der sammen med FBI, NSA og Storbritanniens nationale cybersikkerhedscenter beskriver, hvordan Ruslandsstøttede hackere har udnyttet sårbarheder i Cisco-router i 2021 med det formål at rette aktiviteter mod europæiske organisationer og amerikanske myndigheder. Aktiviteterne omfatter også ’ca. 250 ukrainske ofre’, som det hedder.
Ifølge advisoriet har angriberne udnyttet en sårbarhed, som ellers blev rettet af Cisco tilbage i 2017 til at implementere en specialbygget malware kaldet ’Jaguar Tooth’. Malwaren er designet til at inficere ikke-patchede routere.
Udnytter SNMP
For at installere malwaren scanner trusselsaktørerne efter internetvendte Cisco-routere ved hjælp af en standard eller SNMP ’community string’. SNMP står for Simple Network Management Protocol, som giver netværksadministratorer mulighed for at fjerntilgå og konfigurere routere.
Ved hjælp af denne fjernadgang kan malwaren installeres, udskille information fra routeren, ligesom den angiveligt skulle give bagdørsadgang til enheden.
Ifølge Cisco Talos er aktiviteten et udtryk for, at ’sofistikerede modstandere, der retter sig mod netværksinfrastruktur for at fremme spionagemål eller som en forudsætning for fremtidig destruktiv aktivitet.’
APT28 er også kendt under navnet ’Fancy Bear’ og ’Strontium’ og har en række cyberangreb, spionage og hack-and-leak informationsoperationer på vegne af den russiske regering på samvittigheden.
Links:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-108
https://therecord.media/cisa-cisco-russia-military-hackers-routers