ITanalyze

آژانس امنیت سایبری و امنیت زیرساخت آمریکا و غول فناوری سیسکو روز سه‌شنبه توصیه‌هایی را در مورد حملات به روترهایی که گفته می‌شود توسط هکرهای ارتش روسیه مورد سوء استفاده قرار می‌گیرند، منتشر کردند.
به گزارش سایبربان، در گزارش خود، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده با اف بی آی، آژانس امنیت ملی (NSA) و مرکز امنیت ملی سایبری انگلستان (NCSC) همراه شد تا اقدامات ای پی تی 28 (APT28) را برجسته کند که آژانس ها معتقدند مرکز اداره اطلاعات اصلی ستاد کل روسیه (GRU) خدمات ویژه 85 (GTsSS) واحد اطلاعات نظامی 26165 است.
این گروه که در میان محققان با نام‌های «خرس فانتزی» و استرونتیوم (STRONTIUM) شناخته می‌شود، ظاهراً از آسیب‌پذیری‌های روتر سیسکو در طول سال 2021 سوء استفاده کرده و به تعداد کمی روتر مستقر در اروپا، مؤسسات دولتی ایالات متحده و تقریباً 250 قربانی اوکراینی حمله کرده است.
مرکز امنیت ملی سایبری انگلستان قبلاً حملات به پارلمان آلمان در سال 2015 و سازمان منع تسلیحات شیمیایی (OPCW) در آوریل 2018 را به گروه ای پی تی28 نسبت داده بود.
این مشاور می گوید که این گروه از دو حمله مختلف برای هدف قرار دادن روترهای سیسکو استفاده کرده است. یکی شامل بهره برداری از پروتکل مدیریت شبکه ساده (SNMP) است که ابزاری است که به مدیران شبکه اجازه می دهد دستگاه های شبکه را از راه دور نظارت و پیکربندی کنند. آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده می گوید که از این ابزارها می توان برای سرقت اطلاعات حساس شبکه و متعاقباً نفوذ به یک شبکه سوء استفاده کرد.
آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده توضیح می‌دهد: تعدادی از ابزارهای نرم‌افزاری می‌توانند کل شبکه را با استفاده از بهره برداری از پروتکل مدیریت شبکه ساده اسکن کنند، به این معنی که پیکربندی ضعیف مانند استفاده از رشته‌های پیش‌فرض یا آسان، می‌تواند شبکه را مستعد حملات کند. رشته‌های ضعیف بهره برداری از پروتکل مدیریت شبکه ساده، از جمله «عمومی» به صورت پیش‌فرض، به ای پی تی 28 اجازه دسترسی به اطلاعات روتر را خواهد داد.

هکرها همچنین از آسیب پذیری CVE-2017-6742 که یک آسیب پذیری بهره برداری از پروتکل مدیریت شبکه ساده که توسط سیسکو در ژوئن 2017 وصله شده بود، سوء استفاده کرده اند.
مشاوره سیسکو در آن زمان راه‌حل‌های متعددی را ارائه کرد که شامل محدود کردن دسترسی به بهره برداری از پروتکل مدیریت شبکه ساده فقط از میزبان‌های مورد اعتماد، یا غیرفعال کردن تعدادی از پایگاه‌های اطلاعات مدیریت بهره برداری از پروتکل مدیریت شبکه ساده (MIB) بود.
آژانس امنیت سایبری و امنیت زیرساخت آمریکا می گوید که ای پی تی 28 از بدافزار برای سوء استفاده از بهره برداری از پروتکل مدیریت شبکه ساده برای به دست آوردن اطلاعات دستگاه و استخراج داده ها استفاده می کند. مرکز امنیت ملی سایبری انگلستان این کمپین بدافزار را دندان جگوار (Jaguar Tooth) نامید و مت اولنی از سیسکو گفت که نمونه ای از روند بسیار گسترده تر دشمنان پیچیده است که زیرساخت های شبکه را برای پیشبرد اهداف جاسوسی یا موقعیت قبلی برای فعالیت های مخرب آینده هدف قرار خواهند داد.
اولنی می گوید: در حالی که همه انواع زیرساخت ها تحت حمله مشاهده شده اند، مهاجمان به ویژه در به خطر انداختن زیرساخت ها با نرم افزارهای قدیمی موفق بوده اند. سیسکو عمیقاً از افزایش نرخ حملات پیشرفته به زیرساخت‌های شبکه نگران است. ما این حملات را مشاهده کرده‌ایم و گزارش‌های متعدد منتشر شده توسط سازمان‌های اطلاعاتی مختلف را تایید کرده‌ایم که نشان می‌دهد عوامل تحت حمایت دولتها، روترها و فایروال‌ها را در سطح جهانی هدف قرار می‌دهند.

اولنی در یک پست وبلاگ توضیح می دهد که علاوه بر روسیه، چین نیز در چندین کمپین به تجهیزات شبکه حمله کرده است.
یکی از سخنگویان سیسکو می گوید که این شرکت همچنان شاهد افزایش تعداد حملات علیه دستگاه‌ها و نرم‌افزارهای شبکه‌ای منسوخ در تمامی فروشندگان است.
هشدار امروز نشان می دهد که دشمنان پیچیده به طور سیستماتیک از آسیب پذیری های شناخته شده استفاده می کنند، در این مورد یک آسیب پذیری بهره برداری از پروتکل مدیریت شبکه ساده در نرم افزار نسخه آی او اس سیسکو و آی او اس اکس ای سیسکو (Cisco IOS XE) که توسط سیسکو در روز 29 ژوئن 2017 کشف شد، با نرم افزار تعمیرشده ای که در دسترس همه مشتریان قرار گرفت، جایگزین شد.
ای پی تی 28 مدت‌هاست که یکی از پرکارترین گروه‌های هک نظامی بوده که در خارج از روسیه فعالیت می‌کند و در سال‌های اخیر ده‌ها کمپین اطلاعات نادرست و هک دولتی راه‌اندازی کرده است. این گروه اغلب با توجه به فعالیت های متعدد شرکت ها به ایمیل های فیشینگ نیزه ای برای تعقیب اهداف مورد علاقه متکی بوده است.
بر اساس گزارش ماندیانت (Mandiant)، ای پی تی 28 در تعدادی از حملات سایبری شرکت داشته است که در آن اطلاعات بسیار حساس در مورد موضوعاتی از جمله درگیری در سوریه، روابط ناتو و اوکراین، بحران پناهندگان و مهاجران اتحادیه اروپا، رسوایی دوپینگ ورزشکاران روسیه در المپیک و پارالمپیک 2016، اتهامات عمومی در مورد هک دولتی روسیه و انتخابات ریاست جمهوری 2016 ایالات متحده به سرقت رفته است.
ای پی تی 28 همچنین با حمله سایبری به ارائه دهنده ارتباطات ماهواره ای ایالات متحده، ویاست (Viasat) نیز مرتبط بود.