In recent years, cyber attacks have become increasingly sophisticated and targeted. One such attack that has gained attention is the Russian Fancy Bear APT (Advanced Persistent Threat) group’s use of unpatched Cisco routers to hack into US and EU government agencies.
Il gruppo russo Fancy Bear APT, noto anche come APT28 o Sofacy, è un gruppo di hacking sponsorizzato dallo stato che si ritiene sia collegato all'agenzia di intelligence militare russa, GRU. Il gruppo è attivo almeno dal 2007 ed è stato responsabile di una serie di attacchi informatici di alto profilo, tra cui l’attacco informatico del 2016 al Comitato Nazionale Democratico (DNC) durante le elezioni presidenziali statunitensi.
Nel 2018, i ricercatori della società di sicurezza informatica FireEye hanno scoperto che il gruppo aveva sfruttato una vulnerabilità nei router Cisco per ottenere l’accesso alle agenzie governative negli Stati Uniti e in Europa. La vulnerabilità, nota come CVE-2018-0171, consentiva agli aggressori di eseguire in remoto codice sul router senza autenticazione.
La vulnerabilità ha interessato numerosi router Cisco, inclusi i popolari router ASR serie 9000 Aggregation Services. Cisco ha rilasciato una patch per la vulnerabilità nel maggio 2018, ma molte organizzazioni non sono riuscite ad applicarla, lasciando i loro router vulnerabili agli attacchi.
Una volta ottenuto l’accesso ai router, il gruppo russo Fancy Bear APT ha potuto utilizzarli come punto d’appoggio per lanciare ulteriori attacchi contro le organizzazioni prese di mira. Il gruppo ha utilizzato una varietà di tecniche per eludere il rilevamento, incluso l'utilizzo di credenziali legittime rubate da sistemi compromessi e mascherando la propria attività come normale traffico di rete.
Gli attacchi erano altamente mirati e si concentravano sulle agenzie governative coinvolte nella politica estera e nella sicurezza nazionale. Il gruppo è riuscito a rubare informazioni sensibili, inclusi dispacci diplomatici e piani militari.
L'utilizzo di router Cisco senza patch evidenzia l'importanza di mantenere il software aggiornato e di applicare tempestivamente le patch di sicurezza. Sottolinea inoltre la necessità che le organizzazioni dispongano di solide misure di sicurezza informatica per rilevare e rispondere agli attacchi.
In risposta agli attacchi, Cisco ha emesso un avviso di sicurezza invitando i clienti ad applicare la patch CVE-2018-0171 e a implementare misure di sicurezza aggiuntive, come la segmentazione della rete e i controlli di accesso.
The Russian Fancy Bear APT group’s use of unpatched Cisco routers is just one example of the growing threat posed by state-sponsored hacking groups. As these groups become more sophisticated and targeted in their attacks, it is essential that organizations take steps to protect themselves and their sensitive data. This includes implementing strong cybersecurity measures, keeping software up-to-date, and staying vigilant for signs of a potential attack.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Fonte: Plato Data Intelligence: PlatoneDati
