英国国家网络安全中心(NCSC)、美国国安局(NSA)、美国网络安全暨基础设施安全局(CISA),以及美国联邦调查局(FBI)本周共同披露了黑客组织APT28于2021年针对思科路由器的攻击行动。
上述国家安全机构几乎已确认APT28隶属于俄罗斯情报局(GRU),该黑客组织曾在2015年攻击德国议会,在2018年企图攻击禁止化学武器组织(OPCW),而在2021年时,APT28则利用商用的程序代码存储库及诸如Empire等后胁迫框架,并于思科路由器上部署Jaguar Tooth恶意程序。
根据调查,APT28锁定了思科于2017年修补的CVE-2017-6742漏洞展开攻击,该漏洞存在于简单网络管理协议(Simple Network Management Protocol,SNMP)上,这是Cisco IOS及IOS XE软件的子系统,允许网络管理员自远程监控与配置网络设备,该漏洞可让黑客自远程执行任意程序,成功的攻击还能渗透路由器所在的网络。
NCSC指出,APT28在2021年时利用基础设施来假冒SNMP,以访问部署于全球的思科路由器,有少数的路由器位于欧洲及美国的政府组织中,还有大约250台受黑路由器位于乌克兰。
由于有不少工具都能扫描全球网络上采用SNMP的设备,因此倘若这些设备依然使用默认或容易猜测的社群字符串,那么便很容易遭到入侵,方便APT28取得路由器资讯,受黑的路由器都接受SNMP v2请求,该版本的SNMP并不支持加密,因此所有送出的资料,包括社群字符串在内,也都没有加密。
此外,调查显示APT28在部分受害设备上部署了Jaguar Tooth恶意程序,该恶意程序可搜集更多的设备资讯,还激活了后门访问机制。
思科也在同一天发布了声明,指出该公司不断鼓励用户要限制SNMP或任何管理接口的访问能力,要避免设备管理接口或服务遭到攻击的最佳做法,就是仅允许可靠的管理员与IP地址访问,也提醒虽然SNMP的简单易用让它依然受到许多旧时代网络设备的青睐,但NETCONF与RESTCONF协议的安全能力才更适合现代的网络管理。