Trong những năm gần đây, các cuộc tấn công mạng ngày càng trở nên tinh vi và có mục tiêu. Một cuộc tấn công như vậy đã thu hút được sự chú ý là việc nhóm Fancy Bear APT (Mối đe dọa liên tục nâng cao) của Nga sử dụng các bộ định tuyến Cisco chưa được vá để xâm nhập vào các cơ quan chính phủ Hoa Kỳ và EU.
Nhóm Fancy Bear APT của Nga, còn được gọi là APT28 hoặc Sofacy, là một nhóm hack được nhà nước bảo trợ và được cho là có liên quan đến cơ quan tình báo quân sự Nga, GRU. Nhóm này đã hoạt động ít nhất từ năm 2007 và chịu trách nhiệm về một số vụ tấn công mạng nổi tiếng, bao gồm vụ hack vào Ủy ban Quốc gia Đảng Dân chủ (DNC) năm 2016 trong cuộc bầu cử tổng thống Mỹ.
Năm 2018, các nhà nghiên cứu từ công ty an ninh mạng FireEye đã phát hiện ra rằng nhóm này đã sử dụng lỗ hổng trong bộ định tuyến của Cisco để giành quyền truy cập vào các cơ quan chính phủ ở Mỹ và Châu Âu. Lỗ hổng có tên CVE-2018-0171, cho phép kẻ tấn công thực thi mã từ xa trên bộ định tuyến mà không cần xác thực.
Lỗ hổng này ảnh hưởng đến một số bộ định tuyến của Cisco, bao gồm cả Bộ định tuyến dịch vụ tổng hợp dòng ASR 9000 phổ biến. Cisco đã phát hành bản vá cho lỗ hổng này vào tháng 2018 năm XNUMX, nhưng nhiều tổ chức đã không áp dụng bản vá này, khiến bộ định tuyến của họ dễ bị tấn công.
Sau khi nhóm APT Fancy Bear của Nga có được quyền truy cập vào các bộ định tuyến, họ có thể sử dụng chúng làm chỗ đứng để tiến hành các cuộc tấn công tiếp theo vào các tổ chức mục tiêu. Nhóm đã sử dụng nhiều kỹ thuật khác nhau để tránh bị phát hiện, bao gồm sử dụng thông tin xác thực hợp pháp bị đánh cắp từ các hệ thống bị xâm nhập và ngụy trang hoạt động của chúng dưới dạng lưu lượng truy cập mạng thông thường.
Các cuộc tấn công nhắm mục tiêu cao và tập trung vào các cơ quan chính phủ liên quan đến chính sách đối ngoại và an ninh quốc gia. Nhóm này đã có thể đánh cắp thông tin nhạy cảm, bao gồm cả các bức điện ngoại giao và các kế hoạch quân sự.
Việc sử dụng các bộ định tuyến Cisco chưa được vá lỗi nêu bật tầm quan trọng của việc luôn cập nhật phần mềm và áp dụng các bản vá bảo mật kịp thời. Nó cũng nhấn mạnh sự cần thiết của các tổ chức phải có các biện pháp an ninh mạng mạnh mẽ để phát hiện và ứng phó với các cuộc tấn công.
Để đối phó với các cuộc tấn công, Cisco đã đưa ra lời khuyên bảo mật kêu gọi khách hàng áp dụng bản vá cho CVE-2018-0171 và thực hiện các biện pháp bảo mật bổ sung, chẳng hạn như phân đoạn mạng và kiểm soát truy cập.
Việc nhóm Fancy Bear APT của Nga sử dụng các bộ định tuyến Cisco chưa được vá chỉ là một ví dụ về mối đe dọa ngày càng tăng do các nhóm hack được nhà nước bảo trợ gây ra. Khi các nhóm này trở nên tinh vi hơn và có mục tiêu tấn công hơn, điều cần thiết là các tổ chức phải thực hiện các bước để bảo vệ bản thân và dữ liệu nhạy cảm của mình. Điều này bao gồm việc thực hiện các biện pháp an ninh mạng mạnh mẽ, luôn cập nhật phần mềm và luôn cảnh giác trước các dấu hiệu của một cuộc tấn công tiềm ẩn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- Nguồn: Plato Data Intelligence: PlatoDữ liệu
