APT28, eine staatlich geförderte Hacking-Gruppe, die vom russischen Militärgeheimdienst betrieben wird, nutzt nach Angaben der Regierungen der USA und des Vereinigten Königreichs eine sechs Jahre alte Schwachstelle in Cisco-Routern aus, um Malware einzusetzen und eine Überwachung durchzuführen.
In einem gemeinsame Beratung Wie die am Dienstag veröffentlichte US-Cybersicherheitsbehörde CISA zusammen mit dem FBI, der NSA und dem britischen National Cyber Security Center ausführlich darlegt, wie die von Russland unterstützten Hacker Schwachstellen von Cisco-Routern im Laufe des Jahres 2021 ausnutzten, um europäische Organisationen und US-Regierungsinstitutionen ins Visier zu nehmen. In dem Gutachten hieß es, die Hacker hätten auch „ungefähr 250 ukrainische Opfer“ gehackt, die die Behörden nicht namentlich nannten.
APT28, auch bekannt als Fancy Bear, ist dafür bekannt, im Auftrag der russischen Regierung eine Reihe von Cyberangriffen, Spionage und Hack-and-Leak-Informationsoperationen durchzuführen.
Laut dem gemeinsamen Gutachten haben die Hacker ausgenutzt eine aus der Ferne ausnutzbare Schwachstelle 2017 von Cisco gepatcht, um eine speziell entwickelte Malware namens „Jaguar Tooth“ bereitzustellen, die darauf ausgelegt ist, nicht gepatchte Router zu infizieren.
Um die Malware zu installieren, scannen die Angreifer mit einem standardmäßigen oder leicht zu erratenden SNMP-Community-String nach mit dem Internet verbundenen Cisco-Routern.
SNMP oder Simple Network Management Protocol ermöglicht Netzwerkadministratoren den Fernzugriff und die Konfiguration von Routern anstelle eines Benutzernamens oder Passworts, kann aber auch missbraucht werden, um sensible Netzwerkinformationen zu erhalten.
Nach der Installation filtert die Malware Informationen aus dem Router und bietet einen heimlichen Hintertürzugriff auf das Gerät, so die Behörden.
Matt Olney, Director of Threat Intelligence bei Cisco Talos, sagte in einem Blogbeitrag Diese Kampagne ist ein Beispiel für „einen viel breiteren Trend raffinierter Gegner, die auf die Netzwerkinfrastruktur abzielen, um Spionageziele voranzutreiben oder sich auf zukünftige zerstörerische Aktivitäten vorzubereiten“.
„Cisco ist zutiefst besorgt über eine Zunahme der Rate hochentwickelter Angriffe auf die Netzwerkinfrastruktur – die wir beobachtet und durch zahlreiche Berichte verschiedener Geheimdienste bestätigt gesehen haben –, die darauf hindeuten, dass staatlich geförderte Akteure Router und Firewalls weltweit ins Visier nehmen.“ sagte Olney.
Olney fügte hinzu, dass neben Russland auch China in mehreren Kampagnen bei Angriffen auf Netzwerkgeräte gesichtet wurde.
Anfang dieses Jahres, Mandiant gemeldet dass staatlich unterstützte chinesische Angreifer eine Zero-Day-Schwachstelle in Fortinet-Geräten ausnutzten, um eine Reihe von Angriffen auf Regierungsorganisationen durchzuführen.