В последние годы кибератаки становятся все более изощренными и целенаправленными. Одной из таких атак, которая привлекла внимание, является использование российской группой Fancy Bear APT (Advanced Persistent Threat) неисправленных маршрутизаторов Cisco для взлома правительственных учреждений США и ЕС.
Российская APT-группа Fancy Bear, также известная как APT28 или Sofacy, представляет собой спонсируемую государством хакерскую группу, которая, как считается, связана с российской военной разведкой ГРУ. Группа активна как минимум с 2007 года и несет ответственность за ряд громких кибератак, включая взлом Национального комитета Демократической партии (DNC) в 2016 году во время президентских выборов в США.
В 2018 году исследователи из фирмы по кибербезопасности FireEye обнаружили, что группа использовала уязвимость в маршрутизаторах Cisco для получения доступа к государственным учреждениям в США и Европе. Уязвимость, известная как CVE-2018-0171, позволяла злоумышленникам удаленно выполнять код на маршрутизаторе без аутентификации.
Уязвимость затронула ряд маршрутизаторов Cisco, в том числе популярные маршрутизаторы ASR 9000 Series Aggregation Services. Cisco выпустила исправление для этой уязвимости в мае 2018 года, но многие организации не смогли применить исправление, что сделало их маршрутизаторы уязвимыми для атак.
Как только русская APT-группа Fancy Bear получила доступ к маршрутизаторам, они смогли использовать их в качестве плацдарма для дальнейших атак на целевые организации. Группа использовала различные методы, чтобы избежать обнаружения, включая использование законных учетных данных, украденных из скомпрометированных систем, и маскировку своей активности под обычный сетевой трафик.
Атаки носили узконаправленный характер и были сосредоточены на государственных учреждениях, занимающихся вопросами внешней политики и национальной безопасности. Группа смогла украсть конфиденциальную информацию, в том числе дипломатические телеграммы и военные планы.
Использование маршрутизаторов Cisco без исправлений подчеркивает важность своевременного обновления программного обеспечения и установки исправлений безопасности. Это также подчеркивает необходимость наличия у организаций надежных мер кибербезопасности для обнаружения атак и реагирования на них.
В ответ на атаки Cisco выпустила бюллетень по безопасности, призывающий клиентов установить исправление для CVE-2018-0171 и внедрить дополнительные меры безопасности, такие как сегментация сети и контроль доступа.
Использование российской группой Fancy Bear APT непропатченных маршрутизаторов Cisco — лишь один пример растущей угрозы, исходящей от спонсируемых государством хакерских групп. Поскольку эти группы становятся все более изощренными и целенаправленными в своих атаках, крайне важно, чтобы организации приняли меры для защиты себя и своих конфиденциальных данных. Это включает в себя внедрение строгих мер кибербезопасности, обновление программного обеспечения и бдительность в отношении признаков потенциальной атаки.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- Чеканка будущего с Эдриенн Эшли. Доступ здесь.
- Источник: Plato Data Intelligence: ПлатонДанные
