VEGLAT E GRU-së “FANCY BEAR”, “FOREST BLIZZARD” (ISH-STRONTIUM), “FROZEN LAKE” dhe “SOFACY”.

Agjencitë e sigurisë kibernetike dhe të inteligjencës në Mbretërinë e Bashkuar dhe në ShBA kanë paralajmëruar aktorët rusë të shteteve kombëtare që shfrytëzojnë të metat e korrigjuara tani në pajisjet e rrjetit nga “CISCO”, për të kryer zbulim dhe për të vendosur malware kundër objektivave të zgjedhur.

Ndërhyrjet, sipas autoriteteve, ndodhën në vitin 2021 dhe kishin në shënjestër një numër të vogël subjektesh në Evropë, institucione të qeverisë amerikane dhe rreth 250 viktima ukrainase.

Aktiviteti i është atribuar një aktori kërcënimi të gjurmuar si APT, i cili njihet gjithashtu si Fancy Bear, Forest Blizzard (ish Strontium), FROZENLAKE dhe Sofacy, dhe është i lidhur me Drejtorinë Kryesore të Inteligjencës së Shtabit të Përgjithshëm Rus (GRU).

APT28 ka qenë i njohur për aksesin në ruterat e cenueshëm duke përdorur vargjet e komunitetit të parazgjedhur dhe të dobët SNMP, dhe duke shfrytëzuar CVE-2017-6742, tha Qendra Kombëtare e Sigurisë Kibernetike (NCSC).

CVE-2017-6742 (rezultati CVSS: 8.8) është pjesë e një grupi gabimesh të ekzekutimit të kodit në distancë që rrjedhin nga një gjendje e tejmbushjes së buferit në nënsistemin Simple Network Management Protocol (SNMP) në softuerin “CISCO”, IOS dhe IOS XE.

Në sulmet e vëzhguara nga agjencitë, aktori i kërcënimit armatosi dobësinë për të vendosur një malware jo të vazhdueshëm të quajtur Jaguar Tooth në ruterat “CISCO’, që është në gjendje të mbledhë informacione për pajisjen dhe të mundësojë akses të paautentikuar në prapavijë.

Ndërsa çështjet u rregulluan nga “CISCO”, në qershor 2017, ato janë vënë nën shfrytëzim publik që nga 11 janari 2018, duke nënvizuar nevojën për praktika të fuqishme të menaxhimit të patch-it për të kufizuar sipërfaqen e sulmit.

Përveç përditësimit me firmware-in më të fundit për të zbutur kërcënimet e mundshme, kompania po rekomandon gjithashtu që përdoruesit të kalojnë nga SNMP në NETCONF ose në RESTCONF për menaxhimin e rrjetit.

Cisco Talos, në një këshillë të koordinuar, tha se sulmet janë pjesë e një fushate më të gjerë kundër pajisjeve të vjetruara të rrjetit dhe softuerëve nga një sërë shitësish për të përparuar objektivat e spiunazhit ose para-pozicionimit në për aktivitetet e ardhshëme shkatërruese.

Kjo përfshin instalimin e softuerit me qëllim të keq në një pajisje të infrastrukturës, përpjekjet për të mbikqyrur trafikun e rrjetit dhe sulmet e montuara nga kundërshtarët me akses paraekzistues në mjediset e brendshme që synojnë serverët TACACS+/RADIUS për të marrë kredencialet.

Pajisjet e rrugës/ndërprerësit janë të qëndrueshme, rrallë shqyrtohen nga perspektiva e sigurisë, shpesh janë të rregulluara dobët dhe ofrojnë shikueshmëri të thellë të rrjetit, tha Matt Olney, drejtor i inteligjencës së kërcënimeve dhe ndalimit në “CISCO”.

Ato janë objektivi i përsosur për një kundërshtar që kërkon të jetë i qetë dhe të ketë akses në aftësitë e rëndësishme të inteligjencës, si dhe një bazë në një rrjet të preferuar.

Agjencitë kombëtare të inteligjencës dhe aktorët e sponsorizuar nga shteti në të gjithë globin kanë sulmuar infrastrukturën e rrjetit si një objektiv i preferencave kryesore.

Alarmi vjen disa muaj pasi qeveria amerikane dha alarmin në lidhje me ekuipazhet e hakerëve me bazë në Kinë, duke shfrytëzuar dobësitë e rrjetit për të shfrytëzuar organizatat e sektorit publik dhe privat që të paktën që nga viti 2020. Më pas, në fillim të këtij viti, Mandiant në pronësi të Google theksoi përpjekjet e ndërmarra nga aktorët e kërcënimit të sponsorizuar nga shteti kinez për të vendosur malware me porosi në pajisjet e cenueshme Fortinet dhe SonicWall.

Aktorët e avancuar të kërcënimit të spiunazhit kibernetik po përfitojnë nga çdo teknologji e disponueshme për të vazhduar dhe për të kapërcyer një mjedis të synuar, veçanërisht ato teknologji që nuk mbështesin zgjidhjet [zbulimi dhe reagimi i pikës fundore], tha Mandiant.