美国国土安全部下属部门US-CERT发布技术警报(Technical Alert,TA),由美国国土安全部(DHS)、联邦调查局(FBI)和英国国家网络安全中心(NCSC)联手分析的结果显示,由俄罗斯政府资助的黑客正对路由器、交换机、防火墙以及入侵检测系统等网络基础设备发动攻击,目标主要针对政府、私人机构、网络设备供应商以及ISP。
US-CERT表示,俄国政府的这些行动将严重影响美国安全以及经济,而该技术警报的目的便是对网络设备供应商、ISP、公私部门组织以及家庭办公室发出警告,以减少恶意活动带来的损失。
这份技术警报包含了有关俄罗斯政府所资助之黑客,对受害者所采取的策略、技术以及程序细节。联邦调查局相信,这些黑客正使用老旧受损的路由器,进行中间人攻击,以支持间谍移动、偷取知识产权或持续对受害者进行网络监控,并进一步对未来的攻击行动奠定基础。
研究发现,从2015年来,这些黑客就已经开始对全球的企业级以及家庭办公室级的路由器与交换机进行恶意活动。现在他们瞄准的对象,包含使用老旧协议以及缺乏安全性的设备,有漏洞的设备、违法获取的认证,甚至是固件或操作系统漏洞等都是黑客可能攻击的途径,这些黑客还能修改或是封锁路由器的网络流量。
US-CERT提到,黑客根本不需要对这些设备安装恶意程序,就能完成一定程度的危害,因为不少设备本身未通过认证、使用未加密协议,抑或是制造商已经停止补丁支持,这些都会被黑客转用作为攻击的利器。
而之所以黑客要针对网络基础设备攻击,US-CERT认为,是因为大部组织及客户都需要走访这些设备,控制了路由器等同于控制了交通流量,而且网络设备的安全防护往往遭到忽略,在上面不会有完整的防护措施。
这波黑客攻击通常会有六个阶段,侦察、武器化、交付、开发、安装最后指挥和控制。一开始黑客会进行大规模的扫瞄,对这些设备对外开放的连接端口进行识别,找出易受攻击的目标,尤其是连接端口161与162的SNMP,还有思科SMI常用连接端口4786,被发现容易受黑客利用,并反过来泄漏配置文件等敏感信息。
US-CERT特别提到,SMI是思科开发的无用户认证管理协议,黑客利用智能安装开发工具(SIET),并滥用SMI协议来下载网络设备的配置文件、修改配置,甚至植入恶意程序及修改操作系统,而由于这些网络设备的可写入性,将有助于恶意软件在目标区网的扩展。
US-CERT对所有可能的攻击目标提供了不同的防御建议,但对一般大众而言,US-CERT强调,不要使用未加密的管理协议、不要对互联网开放网络设备的管理接口、不要使用未加密的协议,最后立即更换默认密码并使用强密码政策。