近年来,网络攻击变得越来越复杂和有针对性。 引起关注的此类攻击之一是俄罗斯 Fancy Bear APT(高级持续威胁)组织使用未打补丁的思科路由器入侵美国和欧盟政府机构。
俄罗斯 Fancy Bear APT 组织,也称为 APT28 或 Sofacy,是一个国家资助的黑客组织,据信与俄罗斯军事情报机构 GRU 有联系。 该组织至少从 2007 年起就一直活跃,并发动了多起备受瞩目的网络攻击,包括 2016 年美国总统大选期间民主党全国委员会 (DNC) 遭受的黑客攻击。
2018 年,网络安全公司 FireEye 的研究人员发现,该组织一直在利用思科路由器中的漏洞来访问美国和欧洲的政府机构。 该漏洞被称为 CVE-2018-0171,允许攻击者无需身份验证即可在路由器上远程执行代码。
该漏洞影响了许多思科路由器,包括流行的 ASR 9000 系列聚合服务路由器。 思科于 2018 年 XNUMX 月发布了针对该漏洞的补丁,但许多组织未能应用该补丁,导致其路由器容易受到攻击。
一旦俄罗斯Fancy Bear APT组织获得了路由器的访问权限,他们就可以利用路由器作为立足点,对目标组织发起进一步的攻击。 该组织使用各种技术来逃避检测,包括使用从受感染系统窃取的合法凭据并将其活动伪装成正常网络流量。
这些攻击针对性很强,主要针对涉及外交政策和国家安全的政府机构。 该组织能够窃取敏感信息,包括外交电报和军事计划。
使用未打补丁的思科路由器凸显了保持软件最新并及时应用安全补丁的重要性。 它还强调组织需要采取强有力的网络安全措施来检测和响应攻击。
为了应对这些攻击,思科发布了安全公告,敦促客户应用 CVE-2018-0171 补丁并实施额外的安全措施,例如网络分段和访问控制。
俄罗斯 Fancy Bear APT 组织使用未打补丁的思科路由器只是国家支持的黑客组织所构成的日益严重的威胁的一个例子。 随着这些组织的攻击变得更加复杂和有针对性,组织必须采取措施保护自己及其敏感数据。 这包括实施强有力的网络安全措施、保持软件最新以及对潜在攻击的迹象保持警惕。
