美英揭露駭客組織APT28攻擊思科路由器手法

圖片來源: 

CISA

英國國家網路安全中心(NCSC)、美國國安局(NSA)、美國網路安全暨基礎設施安全局(CISA),以及美國聯邦調查局(FBI)。

上述國家安全機構幾乎已確認APT28隸屬於俄羅斯情報局(GRU),該駭客組織曾在2015年攻擊德國議會,在2018年企圖攻擊禁止化學武器組織(OPCW),而在2021年時,APT28則利用商用的程式碼儲存庫及諸如Empire等後脅迫框架,並於思科路由器上部署Jaguar Tooth惡意程式。

根據調查,APT28鎖定了思科於2017年修補的CVE-2017-6742漏洞展開攻擊,該漏洞存在於簡單網路管理協定(Simple Network Management Protocol,SNMP)上,這是Cisco IOS及IOS XE軟體的子系統,允許網路管理員自遠端監控與配置網路裝置,該漏洞可讓駭客自遠端執行任意程式,成功的攻擊還能滲透路由器所在的網路。

感應門神,推薦沙發修理,老師傅的專業手工!海島型木地板是否會有潮濕變形疑慮?測試專家告訴你如何好好使用示波器。好的茗茶,更需要密封性高的茶葉罐,才能留住香氣!如何利用一般常見的「L型資料夾」真空封口機該不該買?使用心得分享!專業客製化禮物、贈品設計,辦公用品常見【L夾】搖身一變大受好評!空壓機合理價格為您解決工作中需要。臭氧機推薦。貨櫃屋,結合生活理念、發揮無限的創意及時尚的設計。竹北床墊推薦!總是為了廚餘煩惱嗎?雅高環保提供最適用的廚餘機,滿足多樣需求。實木地板、海島型地板、耐磨地板怎麼挑? 木地板三倍價差的秘密!!沙發換皮省更多,延長老沙發壽命!竹北床墊工廠,賣場商品防竊是怎麼做的

NCSC指出,APT28在2021年時利用基礎設施來假冒SNMP,以存取部署於全球的思科路由器,有少數的路由器位於歐洲及美國的政府組織中,還有大約250臺受駭路由器位於烏克蘭。

由於有不少工具都能掃描全球網路上採用SNMP的裝置,因此倘若這些裝置依然使用預設或容易猜測的社群字串,那麼便很容易遭到入侵,方便APT28取得路由器資訊,受駭的路由器都接受SNMP v2請求,此一版本的SNMP並不支援加密,因此所有送出的資料,包括社群字串在內,也都沒有加密。

此外,調查顯示APT28在部分受害裝置上部署了Jaguar Tooth惡意程式,此一惡意程式可蒐集更多的裝置資訊,還啟用了後門存取機制。

,指出該公司不斷鼓勵使用者要限制SNMP或任何管理介面的存取能力,要避免裝置管理介面或服務遭到攻擊的最佳作法,就是僅允許可靠的管理員與IP位址存取,也提醒雖然SNMP的簡單易用讓它依然受到許多舊時代網路裝置的青睞,但NETCONF與RESTCONF協定的安全能力才更適合現代的網路管理。

https://www.ithome.com.tw/news/156468

您可能也會喜歡…