AS dan Inggris Memperingatkan Peretas Rusia yang Memanfaatkan Kelemahan Router Cisco untuk Spionase
19 April 2023Ravie LakshmananKeamanan Jaringan / Spionase Cyber
Badan-badan keamanan siber dan intelijen Inggris dan AS telah memperingatkan aktor-aktor negara Rusia yang mengeksploitasi kelemahan peralatan jaringan dari Cisco yang kini telah diperbaiki untuk melakukan pengintaian dan menyebarkan malware terhadap target tertentu.
Intrusi tersebut, menurut pihak berwenang, terjadi pada tahun 2021 dan menargetkan sejumlah kecil entitas di Eropa, lembaga pemerintah AS, dan sekitar 250 korban di Ukraina.
Aktivitas tersebut telah dikaitkan dengan aktor ancaman yang dilacak sebagai APT28, yang juga dikenal sebagai Fancy Bear, Forest Blizzard (sebelumnya Strontium), FROZENLAKE, dan Sofacy, dan berafiliasi dengan Direktorat Intelijen Utama Staf Umum Rusia (GRU).
“APT28 diketahui mengakses router yang rentan dengan menggunakan string komunitas SNMP default dan lemah, dan dengan mengeksploitasi CVE-2017-6742,” kata National Cyber Security Center (NCSC).
CVE-2017-6742 (skor CVSS: 8.8) adalah bagian dari serangkaian kelemahan eksekusi kode jarak jauh yang berasal dari kondisi buffer overflow pada subsistem Simple Network Management Protocol (SNMP) di perangkat lunak Cisco IOS dan IOS XE.
Dalam serangan yang diamati oleh badan-badan tersebut, pelaku ancaman memanfaatkan kerentanan tersebut untuk menyebarkan malware non-persisten yang dijuluki Jaguar Tooth pada router Cisco yang mampu mengumpulkan informasi perangkat dan memungkinkan akses pintu belakang yang tidak diautentikasi.
Meskipun masalah ini telah diperbaiki oleh Cisco pada bulan Juni 2017, masalah tersebut telah dieksploitasi publik sejak tanggal 11 Januari 2018, yang menggarisbawahi perlunya praktik manajemen patch yang kuat untuk membatasi permukaan serangan.
Selain memperbarui firmware terbaru untuk mengurangi potensi ancaman, perusahaan juga merekomendasikan agar pengguna beralih dari SNMP ke NETCONF atau RESTCONF untuk manajemen jaringan.
Cisco Talos, dalam sebuah konsultasi terkoordinasi, mengatakan serangan-serangan itu adalah bagian dari kampanye yang lebih luas terhadap peralatan jaringan dan perangkat lunak yang menua dari berbagai vendor untuk “memajukan tujuan spionase atau preposisi untuk aktivitas destruktif di masa depan.”
Hal ini termasuk instalasi perangkat lunak berbahaya ke dalam perangkat infrastruktur, upaya untuk mengawasi lalu lintas jaringan, dan serangan yang dilakukan oleh “musuh yang sudah memiliki akses ke lingkungan internal yang menargetkan server TACACS+/RADIUS untuk mendapatkan kredensial.”
“Perangkat rute/saklar stabil, jarang diperiksa dari sudut pandang keamanan, sering kali tidak di-patch dengan baik dan memberikan visibilitas jaringan yang mendalam,” kata Matt Olney, direktur intelijen ancaman dan larangan di Cisco.
“Mereka adalah target sempurna bagi musuh yang ingin diam dan memiliki akses terhadap kemampuan intelijen penting serta pijakan dalam jaringan pilihan. Badan intelijen nasional dan aktor yang disponsori negara di seluruh dunia telah menyerang infrastruktur jaringan sebagai target serangan. preferensi utama.”
Peringatan ini muncul beberapa bulan setelah pemerintah AS menyuarakan kekhawatiran mengenai kelompok peretas negara yang berbasis di Tiongkok yang memanfaatkan kerentanan jaringan untuk mengeksploitasi organisasi sektor publik dan swasta setidaknya sejak tahun 2020.
Kemudian pada awal tahun ini, Mandiant milik Google menyoroti upaya yang dilakukan oleh pelaku ancaman yang disponsori negara Tiongkok untuk menyebarkan malware khusus pada perangkat Fortinet dan SonicWall yang rentan.
“Pelaku ancaman spionase dunia maya tingkat lanjut memanfaatkan teknologi apa pun yang tersedia untuk bertahan dan melintasi lingkungan target, terutama teknologi yang tidak mendukung [endpoint detection and response] solusinya,” kata Mandiant.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
