Οι hackers APT28 στοχεύουν Cisco routers με νέο malware

Οι ΗΠΑ, το Ηνωμένο Βασίλειο και η Cisco κρούουν τον κώδωνα του κινδύνου για τους γνωστούς Ρώσους hackers APT28, καθώς χρησιμοποιούν ειδικά σχεδιασμένο malware με την ονομασία “Jaguar Tooth“, για να έχουν μη εξουσιοδοτημένη πρόσβαση σε Cisco IOS routers.

Η ομάδα APT28, η οποία είναι επίσης γνωστή ως Fancy Bear, STRONTIUM, Sednit και Sofacy, είναι μια ομάδα hacking που χρηματοδοτείται από το Main Intelligence Directorate του Γενικού Επιτελείου της ρωσικής κυβέρνησης (GRU). Αυτή η ομάδα απειλών έχει συνδεθεί με μια σειρά κακόβουλων δραστηριοτήτων που στοχεύουν τόσο ευρωπαϊκούς όσο και αμερικανικούς οργανισμούς. Επιπλέον, είναι διαβόητη για τη χρήση zero-day exploits για τη διεξαγωγή επιχειρήσεων κυβερνοκατασκοπείας.

Κορυφαίοι αξιωματούχοι από το Εθνικό Κέντρο Κυβερνοασφάλειας (NCSC) του Ηνωμένου Βασιλείου, τον Οργανισμό Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) των ΗΠΑ, την NSA και το FBI δημοσίευσαν μια ανησυχητική έκθεση που αποκαλύπτει πώς οι συγκεκριμένοι hackers εκμεταλλεύονται μια παλιά ευπάθεια SNMP σε Cisco IOS routers για να αναπτύξουν ένα custom malware, γνωστό ως “Jaguar Tooth”.

Δείτε επίσης: Συνεργασία πρώην μελών της Conti και των hackers FIN7 για τη διανομή του Domino malware

Jaguar Tooth: Custom Cisco IOS router malware

Το Jaguar Tooth είναι ένα κακόβουλο λογισμικό που εισάγεται στη μνήμη των Cisco routers που λειτουργούν με παλιό firmware. Μόλις εγκατασταθεί, αυτό το κακόβουλο λογισμικό μπορεί όχι μόνο να κλέψει δεδομένα από το router αλλά και να παρέχει μη εξουσιοδοτημένη πρόσβαση στη συσκευή.

“Το Jaguar Tooth είναι ένα non-persistent malware που στοχεύει Cisco IOS routers που εκτελούν firmware: C5350-ISM, Version 12.3(6)“, προειδοποιεί η NCSC.

“Έχει παρατηρηθεί ότι αναπτύσσεται και εκτελείται μέσω εκμετάλλευσης της επιδιορθωμένης ευπάθειας SNMP CVE-2017-6742“.

Για να εγκαταστήσουν το κακόβουλο λογισμικό, οι επιτιθέμενοι εντοπίζουν δημόσια Cisco routers με αδύναμα SNMP community strings, όπως το συνηθισμένο ‘public’ string. Τα SNMP community strings είναι σαν τα credentials που επιτρέπουν σε οποιονδήποτε γνωρίζει τη διαμορφωμένη συμβολοσειρά να υποβάλει query σε δεδομένα SNMP σε μια συσκευή.

Εάν ανακαλυφθεί ένα έγκυρο SNMP community string, οι επιτιθέμενοι εκμεταλλεύονται την ευπάθεια CVE-2017-6742 SNMP, η οποία διορθώθηκε τον Ιούνιο του 2017. Αυτή η ευπάθεια είναι ένα σφάλμα που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα.

Μόλις οι APT28 hackers αποκτήσουν πρόσβαση στο Cisco router, εγκαθιστούν το custom malware Jaguar Tooth.

Δείτε επίσης: QBot: Διανέμεται πλέον με email μέσω PDF και WSF συνημμένα

“Αυτό παρέχει πρόσβαση σε υπάρχοντες τοπικούς λογαριασμούς χωρίς έλεγχο του παρεχόμενου κωδικού πρόσβασης, κατά τη σύνδεση μέσω Telnet ή φυσικού session“, εξηγεί η αναφορά της NCSC.

Επιπλέον, το κακόβουλο λογισμικό δημιουργεί μια νέα διαδικασία με την ονομασία “Service Policy Lock” που συλλέγει τα αποτελέσματα από τα ακόλουθα Command Line Interface (CLI) commands και τα εξάγει χρησιμοποιώντας TFTP:

• show running-config
• show version
• show ip interface brief
• show arp
• show cdp neighbors
• show start
• show ip route
• show flash

Για να προστατευτούν από αυτές τις επιθέσεις, όλοι οι διαχειριστές θα πρέπει να φροντίσουν να αναβαθμίσουν τα routers τους με την πιο πρόσφατη έκδοση firmware.

Επιπλέον, η Cisco υποστηρίζει ανεπιφύλακτα τη μετάβαση από SNMP σε NETCONF/RESTCONF για απομακρυσμένη διαχείριση σε δημόσια routers, λόγω της αυξημένης ασφάλειας και των βαθύτερων δυνατοτήτων του.

Εάν είναι απαραίτητο το SNMP, οι διαχειριστές θα πρέπει να ρυθμίσουν allow και deny lists για να περιορίσουν ποιος μπορεί να έχει πρόσβαση στη διεπαφή SNMP σε routers που εκτίθενται δημόσια. Επίσης, το community string θα πρέπει να αλλάξει σε μια αρκετά ισχυρή, τυχαία συμβολοσειρά.

Η CISA συνιστά επίσης την απενεργοποίηση του SNMP v2 ή του Telnet σε Cisco routers, καθώς αυτά τα πρωτόκολλα θα μπορούσαν να επιτρέψουν την κλοπή credentials.

Τέλος, εάν υπάρχει υποψία παραβίασης μιας συσκευής, η CISA συνιστά τη χρήση των συμβουλών της Cisco για την επαλήθευση της ακεραιότητας του IOS image, την ανάκληση όλων των κλειδιών που σχετίζονται με τη συσκευή και την αποφυγή επαναχρησιμοποίησης παλαιών κλειδιών.

Δείτε επίσης: Chameleon Android malware: Μιμείται τραπεζικά και crypto apps

Λίγα λόγια για τη ρωσική hacking ομάδα APT28

Η ομάδα είναι ενεργή τουλάχιστον από το 2004 και δουλεύει για την κυβέρνηση της Ρωσίας. Βρίσκεται πίσω από γνωστές εκστρατείες κυβερνοκατασκοπείας που έχουν στοχεύσει κυβερνήσεις σε όλο τον κόσμο. Το 2015, επιτέθηκε στο Γερμανικό Ομοσπονδιακό Κοινοβούλιο και αργότερα στόχευσε την Democratic National Committee (DNC) και την Democratic Congressional Campaign Committee (DCCC).

Οι ΗΠΑ έχουν κατηγορήσει κάποια μέλη της ομάδας για τα hack στη DNC και τη DCCC το 2018 καθώς και για τη στόχευση και την παραβίαση μεμονωμένων μελών της “Clinton Campaign”.

Δύο χρόνια αργότερα, το Συμβούλιο της Ευρωπαϊκής Ένωσης ανακοίνωσε κυρώσεις κατά πολλών μελών της APT28 για τη συμμετοχή τους στο χακάρισμα του γερμανικού ομοσπονδιακού κοινοβουλίου (Deutscher Bundestag) το 2015.

Πηγή: www.bleepingcomputer.com