Viime vuosina kyberhyökkäykset ovat tulleet yhä kehittyneempiä ja kohdistetumpia. Eräs tällainen huomion saanut hyökkäys on venäläisen Fancy Bear APT (Advanced Persistent Threat) -ryhmän käyttämä korjaamattomia Ciscon reitittimiä murtautuakseen Yhdysvaltain ja EU:n valtion virastoihin.
Venäjän Fancy Bear APT -ryhmä, joka tunnetaan myös nimellä APT28 tai Sofacy, on valtion tukema hakkerointiryhmä, jonka uskotaan olevan yhteydessä Venäjän sotilastiedusteluvirastoon GRU:hun. Ryhmä on ollut aktiivinen ainakin vuodesta 2007 lähtien ja on ollut vastuussa useista korkean profiilin kyberhyökkäyksistä, mukaan lukien vuoden 2016 Democratic National Committeen (DNC) hakkerointi Yhdysvaltain presidentinvaalien aikana.
Vuonna 2018 kyberturvallisuusyrityksen FireEyen tutkijat havaitsivat, että ryhmä oli käyttänyt Ciscon reitittimien haavoittuvuutta päästäkseen Yhdysvaltojen ja Euroopan valtion virastoihin. Haavoittuvuus, joka tunnetaan nimellä CVE-2018-0171, antoi hyökkääjille mahdollisuuden suorittaa etäkoodia reitittimessä ilman todennusta.
Haavoittuvuus vaikutti useisiin Ciscon reitittimiin, mukaan lukien suosittuihin ASR 9000 Series Aggregation Services -reitittimiin. Cisco julkaisi haavoittuvuuden korjaustiedoston toukokuussa 2018, mutta monet organisaatiot eivät onnistuneet asentamaan korjaustiedostoa, jolloin niiden reitittimet ovat alttiina hyökkäyksille.
Kun venäläinen Fancy Bear APT -ryhmä pääsi käsiksi reitittimiin, he pystyivät käyttämään niitä jalansijana käynnistääkseen uusia hyökkäyksiä kohteena olevia organisaatioita vastaan. Ryhmä käytti useita tekniikoita välttääkseen havaitsemisen, mukaan lukien vaarantuneista järjestelmistä varastettujen laillisten valtuustietojen käyttäminen ja toimintansa naamioiminen normaaliksi verkkoliikenteeksi.
Hyökkäykset olivat erittäin kohdennettuja ja kohdistuivat ulkopolitiikkaan ja kansalliseen turvallisuuteen osallistuviin valtion virastoihin. Ryhmä onnistui varastamaan arkaluonteisia tietoja, mukaan lukien diplomaattiset kaapelit ja sotilassuunnitelmat.
Korjaamattomien Cisco-reitittimien käyttö korostaa ohjelmistojen ajan tasalla pitämisen ja tietoturvakorjausten oikea-aikaisen asentamisen tärkeyttä. Se myös korostaa, että organisaatioilla on oltava vankat kyberturvallisuustoimenpiteet hyökkäysten havaitsemiseksi ja niihin reagoimiseksi.
Vastauksena hyökkäyksiin Cisco julkaisi tietoturvatiedotteen, jossa asiakkaita kehotettiin asentamaan korjaustiedosto CVE-2018-0171:een ja ottamaan käyttöön lisäturvatoimenpiteitä, kuten verkon segmentointia ja pääsynhallintaa.
Venäläisen Fancy Bear APT -ryhmän käyttämät korjaamattomia Cisco-reitittimiä on vain yksi esimerkki valtion tukemien hakkerointiryhmien kasvavasta uhasta. Kun nämä ryhmät kehittyvät entistä kehittyneemmiksi ja kohdistetuiksi hyökkäyksissään, on olennaista, että organisaatiot ryhtyvät toimiin suojellakseen itseään ja arkaluonteisia tietojaan. Tähän sisältyy vahvojen kyberturvallisuustoimenpiteiden toteuttaminen, ohjelmistojen pitäminen ajan tasalla ja valppaana mahdollisen hyökkäyksen merkkien varalta.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- Tulevaisuuden lyöminen Adryenn Ashley. Pääsy tästä.
- Lähde: Platon Data Intelligence: PlatonData
