Stany Zjednoczone, Wielka Brytania i Cisco ostrzegają przed sponsorowanymi przez państwo rosyjskimi hakerami APT28 wdrażającymi niestandardowe złośliwe oprogramowanie o nazwie „Jaguar Tooth” na routerach Cisco IOS, umożliwiające nieuwierzytelniony dostęp do urządzenia.

APT28, znany również jako Fancy Bear, STRONTIUM, Sednit i Sofacy, to sponsorowana przez państwo grupa hakerska powiązana z Głównym Zarządem Wywiadu Sztabu Generalnego Rosji (GRU). Tej grupie hakerskiej przypisywano szeroki zakres ataków na interesy europejskie i amerykańskie i znana jest ona z wykorzystywania exploitów dnia zerowego do prowadzenia cyberszpiegostwa.

Wspólny raport opublikowany dzisiaj przez brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC), amerykańską Agencję ds. niestandardowe złośliwe oprogramowanie o nazwie „Jaguar Tooth”.

Niestandardowe złośliwe oprogramowanie routera Cisco IOS

Jaguar Tooth to złośliwe oprogramowanie wstrzykiwane bezpośrednio do pamięci routerów Cisco ze starszymi wersjami oprogramowania układowego. Po zainstalowaniu złośliwe oprogramowanie wydobywa informacje z routera i zapewnia nieuwierzytelniony dostęp do urządzenia.

„Jaguar Tooth to nietrwałe złośliwe oprogramowanie atakujące routery Cisco IOS z oprogramowaniem układowym: C5350-ISM, wersja 12.3(6)”, ostrzega doradca NCSC.

„Zawiera funkcję zbierania informacji o urządzeniu, które eksfiltruje przez TFTP, i umożliwia nieuwierzytelniony dostęp do backdoora. Zaobserwowano, że jest wdrażany i uruchamiany poprzez wykorzystanie załatanej luki SNMP CVE-2017-6742”.

Aby zainstalować złośliwe oprogramowanie, cyberprzestępcy skanują publiczne routery Cisco przy użyciu słabych ciągów społeczności SNMP, takich jak powszechnie używany ciąg „public”. Ciągi społeczności SNMP są jak poświadczenia, które pozwalają każdemu, kto zna skonfigurowany ciąg, na wysyłanie zapytań o dane SNMP na urządzeniu.

Jeśli zostanie wykryty prawidłowy ciąg znaków społeczności SNMP, cyberprzestępcy wykorzystują lukę CVE-2017-6742 SNMP, która została naprawiona w czerwcu 2017 r. Luka ta polega na nieuwierzytelnionym, zdalnym wykonaniu kodu przy użyciu publicznie dostępnego kodu.

Gdy cyberprzestępcy uzyskają dostęp do routera Cisco, łatają jego pamięć, aby zainstalować niestandardowe, nietrwałe złośliwe oprogramowanie Jaguar Tooth.

„To zapewnia dostęp do istniejących kont lokalnych bez sprawdzania podanego hasła podczas łączenia przez Telnet lub sesję fizyczną” — wyjaśnia raport z analizy złośliwego oprogramowania NCSC.

Ponadto złośliwe oprogramowanie tworzy nowy proces o nazwie „Service Policy Lock”, który zbiera dane wyjściowe z następujących poleceń interfejsu wiersza poleceń (CLI) i eksfiltruje je za pomocą TFTP:

• pokaż działającą konfigurację
• pokaż wersję
• pokaż skrót interfejsu ip
• pokaż rp
• pokaż sąsiadów cdp
• pokaż początek
• pokaż trasę ip
• pokaż flasha

Wszyscy administratorzy Cisco powinni zaktualizować swoje routery do najnowszego oprogramowania układowego, aby złagodzić te ataki.

Cisco zaleca również przejście z SNMP na NETCONF/RESTCONF na publicznych routerach w celu zdalnego zarządzania, ponieważ zapewnia ono bardziej niezawodne zabezpieczenia i funkcjonalność.

Jeśli wymagany jest protokół SNMP, administratorzy powinni skonfigurować listy zezwoleń i odmów, aby ograniczyć dostęp do interfejsu SNMP na publicznie dostępnych routerach, a ciąg społeczności powinien zostać zmieniony na wystarczająco silny ciąg losowy.

CISA zaleca również wyłączenie SNMP v2 lub Telnet na routerach Cisco, ponieważ te protokoły mogą pozwolić na kradzież danych uwierzytelniających z niezaszyfrowanego ruchu.

Wreszcie, jeśli istnieje podejrzenie, że urządzenie zostało zhakowane, CISA zaleca skorzystanie z porad firmy Cisco w celu zweryfikowania integralności obrazu systemu IOS, unieważnienia wszystkich kluczy powiązanych z urządzeniem i nieużywania ponownie starych kluczy oraz zastąpienia obrazów obrazami pochodzącymi bezpośrednio od firmy Cisco.

Zmiana celów

Dzisiejszy poradnik zwraca uwagę na rosnący trend wśród sponsorowanych przez państwo cyberprzestępców do tworzenia niestandardowego złośliwego oprogramowania dla urządzeń sieciowych w celu prowadzenia cyberszpiegostwa i inwigilacji.

W marcu Fortinet i Mandiant ujawnili, że chińscy hakerzy atakowali wrażliwe urządzenia Fortinet za pomocą niestandardowego złośliwego oprogramowania w serii ataków na jednostki rządowe.

Również w marcu Mandiant zgłosił podejrzenie chińskiej kampanii hakerskiej, która instalowała niestandardowe złośliwe oprogramowanie na odsłoniętych urządzeniach SonicWall.

Ponieważ urządzenia sieci brzegowej nie obsługują rozwiązań Endpoint Detection and Response (EDR), stają się popularnym celem cyberprzestępców.

Ponadto, ponieważ znajdują się na krawędzi, przez którą przepływa prawie cały ruch sieciowy firmy, są atrakcyjnym celem do nadzorowania ruchu sieciowego i zbierania poświadczeń w celu dalszego dostępu do sieci.