De afgelopen jaren zijn cyberaanvallen steeds geavanceerder en doelgerichter geworden. Eén van die aanvallen die de aandacht heeft getrokken, is het gebruik van niet-gepatchte Cisco-routers door de Russische Fancy Bear APT-groep (Advanced Persistent Threat) om Amerikaanse en Europese overheidsinstanties te hacken.
De Russische Fancy Bear APT-groep, ook bekend als APT28 of Sofacy, is een door de staat gesponsorde hackgroep die vermoedelijk banden heeft met de Russische militaire inlichtingendienst GRU. De groep is in ieder geval sinds 2007 actief en is verantwoordelijk geweest voor een aantal spraakmakende cyberaanvallen, waaronder de hack van het Democratic National Committee (DNC) in 2016 tijdens de Amerikaanse presidentsverkiezingen.
In 2018 ontdekten onderzoekers van cyberbeveiligingsbedrijf FireEye dat de groep een kwetsbaarheid in Cisco-routers had gebruikt om toegang te krijgen tot overheidsinstanties in de VS en Europa. Door de kwetsbaarheid, bekend als CVE-2018-0171, konden aanvallers zonder authenticatie op afstand code op de router uitvoeren.
Het beveiligingslek trof een aantal Cisco-routers, waaronder de populaire ASR 9000 Series Aggregation Services Routers. Cisco heeft in mei 2018 een patch voor het beveiligingslek uitgebracht, maar veel organisaties slaagden er niet in de patch toe te passen, waardoor hun routers kwetsbaar werden voor aanvallen.
Toen de Russische Fancy Bear APT-groep eenmaal toegang kreeg tot de routers, konden ze deze gebruiken als uitvalsbasis om verdere aanvallen op de beoogde organisaties uit te voeren. De groep gebruikte verschillende technieken om detectie te omzeilen, waaronder het gebruik van legitieme inloggegevens die waren gestolen van gecompromitteerde systemen en het vermommen van hun activiteit als normaal netwerkverkeer.
De aanvallen waren zeer doelgericht en gericht op overheidsinstanties die betrokken zijn bij het buitenlands beleid en de nationale veiligheid. De groep kon gevoelige informatie stelen, waaronder diplomatieke telegrammen en militaire plannen.
Het gebruik van niet-gepatchte Cisco-routers onderstreept het belang van het up-to-date houden van software en het tijdig toepassen van beveiligingspatches. Het onderstreept ook de noodzaak voor organisaties om robuuste cyberbeveiligingsmaatregelen te treffen om aanvallen te detecteren en erop te reageren.
Als reactie op de aanvallen heeft Cisco een beveiligingsadvies uitgebracht waarin klanten worden opgeroepen de patch voor CVE-2018-0171 toe te passen en aanvullende beveiligingsmaatregelen te implementeren, zoals netwerksegmentatie en toegangscontroles.
Het gebruik van niet-gepatchte Cisco-routers door de Russische Fancy Bear APT-groep is slechts één voorbeeld van de groeiende dreiging die uitgaat van door de staat gesponsorde hackgroepen. Naarmate deze groepen geavanceerder en doelgerichter worden in hun aanvallen, is het essentieel dat organisaties stappen ondernemen om zichzelf en hun gevoelige gegevens te beschermen. Dit omvat het implementeren van krachtige cyberbeveiligingsmaatregelen, het up-to-date houden van software en waakzaam blijven voor tekenen van een mogelijke aanval.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Bron: Plato Data Intelligence: PlatoData
