W ostatnich latach cyberataki stają się coraz bardziej wyrafinowane i ukierunkowane. Jednym z takich ataków, który zwrócił na siebie uwagę, jest wykorzystanie niezałatanych routerów Cisco przez rosyjską grupę Fancy Bear APT (Advanced Persistent Threat) do włamywania się do agencji rządowych USA i UE.
Rosyjska grupa Fancy Bear APT, znana również jako APT28 lub Sofacy, to sponsorowana przez państwo grupa hakerska, prawdopodobnie powiązana z rosyjską agencją wywiadu wojskowego GRU. Grupa ta działa co najmniej od 2007 r. i jest odpowiedzialna za szereg głośnych cyberataków, w tym za włamanie do Narodowego Komitetu Demokratów (DNC) w 2016 r. podczas wyborów prezydenckich w USA.
W 2018 roku badacze z firmy FireEye zajmującej się cyberbezpieczeństwem odkryli, że grupa ta wykorzystywała lukę w routerach Cisco, aby uzyskać dostęp do agencji rządowych w USA i Europie. Luka, znana jako CVE-2018-0171, umożliwiała atakującym zdalne wykonanie kodu na routerze bez uwierzytelnienia.
Luka dotyczy wielu routerów Cisco, w tym popularnych routerów usług agregacji serii ASR 9000. Firma Cisco wypuściła łatkę usuwającą tę lukę w maju 2018 r., ale wiele organizacji nie zastosowało tej łatki, przez co swoje routery były podatne na ataki.
Gdy rosyjska grupa APT Fancy Bear uzyskała dostęp do routerów, mogła wykorzystać je jako przyczółek do przeprowadzania dalszych ataków na docelowe organizacje. Grupa stosowała różne techniki, aby uniknąć wykrycia, w tym wykorzystywała legalne dane uwierzytelniające skradzione z zaatakowanych systemów i ukrywała swoją aktywność jako normalny ruch sieciowy.
Ataki były wysoce ukierunkowane i skupiały się na agencjach rządowych zaangażowanych w politykę zagraniczną i bezpieczeństwo narodowe. Grupie udało się ukraść poufne informacje, w tym depesze dyplomatyczne i plany wojskowe.
Korzystanie z routerów Cisco bez poprawek podkreśla znaczenie aktualizowania oprogramowania i terminowego stosowania poprawek zabezpieczeń. Podkreśla również, że organizacje muszą posiadać solidne środki cyberbezpieczeństwa umożliwiające wykrywanie ataków i reagowanie na nie.
W odpowiedzi na ataki firma Cisco wydała zalecenie dotyczące bezpieczeństwa, w którym nalegała, aby klienci zastosowali łatkę CVE-2018-0171 i wdrożyli dodatkowe środki bezpieczeństwa, takie jak segmentacja sieci i kontrola dostępu.
Wykorzystywanie przez rosyjską grupę Fancy Bear APT niezałatanych routerów Cisco to tylko jeden z przykładów rosnącego zagrożenia stwarzanego przez sponsorowane przez państwo grupy hakerskie. W miarę jak grupy te stają się coraz bardziej wyrafinowane i ukierunkowane na ataki, organizacje muszą podjąć kroki w celu ochrony siebie i swoich wrażliwych danych. Obejmuje to wdrożenie solidnych środków bezpieczeństwa cybernetycznego, aktualizowanie oprogramowania i zachowanie czujności pod kątem oznak potencjalnego ataku.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Źródło: Plato Data Intelligence: PlatoDane
