چگونه APT Fancy Bear روسیه از روترهای سیسکو وصله نشده برای هک آژانس های دولتی ایالات متحده و اتحادیه اروپا استفاده کرد

بازنشر افلاطون

دنبال: 0

در سال های اخیر، حملات سایبری به طور فزاینده ای پیچیده و هدفمند شده اند. یکی از این حملات که مورد توجه قرار گرفته است، استفاده گروه روسی Fancy Bear APT (تهدید پایدار پیشرفته) از روترهای وصله‌نشده سیسکو برای هک کردن آژانس‌های دولتی ایالات متحده و اتحادیه اروپا است.

گروه روسی Fancy Bear APT که با نام های APT28 یا Sofacy نیز شناخته می شود، یک گروه هکری تحت حمایت دولتی است که گمان می رود با آژانس اطلاعات نظامی روسیه، GRU مرتبط باشد. این گروه حداقل از سال 2007 فعال بوده و مسئول تعدادی از حملات سایبری پرمخاطب از جمله هک کمیته ملی دموکرات (DNC) در سال 2016 در جریان انتخابات ریاست جمهوری ایالات متحده بوده است.

در سال 2018، محققان شرکت امنیت سایبری FireEye متوجه شدند که این گروه از یک آسیب‌پذیری در روترهای سیسکو برای دسترسی به سازمان‌های دولتی در ایالات متحده و اروپا استفاده کرده است. این آسیب‌پذیری که با نام CVE-2018-0171 شناخته می‌شود، به مهاجمان اجازه می‌دهد تا از راه دور کد را بدون احراز هویت روی روتر اجرا کنند.

این آسیب پذیری تعدادی از روترهای سیسکو از جمله روترهای محبوب ASR 9000 Series Aggregation Services را تحت تاثیر قرار داد. سیسکو در می 2018 وصله‌ای برای این آسیب‌پذیری منتشر کرد، اما بسیاری از سازمان‌ها نتوانستند این وصله را اعمال کنند و روترهایشان را در برابر حمله آسیب‌پذیر کردند.

هنگامی که گروه روسی Fancy Bear APT به روترها دسترسی پیدا کرد، توانستند از آنها به عنوان پایگاهی برای انجام حملات بیشتر به سازمان های هدف استفاده کنند. این گروه از تکنیک‌های مختلفی برای فرار از شناسایی استفاده کرد، از جمله استفاده از اعتبارنامه‌های قانونی دزدیده شده از سیستم‌های در معرض خطر و پنهان کردن فعالیت خود به عنوان ترافیک عادی شبکه.

این حملات بسیار هدفمند و بر سازمان های دولتی درگیر در سیاست خارجی و امنیت ملی متمرکز بود. این گروه قادر به سرقت اطلاعات حساس از جمله اسناد دیپلماتیک و برنامه های نظامی بود.

استفاده از روترهای سیسکو وصله نشده اهمیت به روز نگه داشتن نرم افزار و اعمال به موقع وصله های امنیتی را برجسته می کند. همچنین بر نیاز سازمان‌ها به داشتن اقدامات امنیتی سایبری قوی برای شناسایی و پاسخ به حملات تاکید می‌کند.

در پاسخ به این حملات، سیسکو یک توصیه امنیتی صادر کرد و از مشتریان خواست که پچ را برای CVE-2018-0171 اعمال کنند و اقدامات امنیتی اضافی مانند تقسیم‌بندی شبکه و کنترل‌های دسترسی را اجرا کنند.

استفاده گروه روسی Fancy Bear APT از روترهای بدون وصله سیسکو تنها نمونه ای از تهدید رو به رشد ناشی از گروه های هک تحت حمایت دولت است. از آنجایی که این گروه‌ها در حملات خود پیچیده‌تر می‌شوند و هدف قرار می‌گیرند، ضروری است که سازمان‌ها برای محافظت از خود و داده‌های حساس خود اقداماتی را انجام دهند. این شامل اجرای اقدامات امنیت سایبری قوی، به روز نگه داشتن نرم افزار، و هوشیاری برای نشانه های حمله احتمالی است.