APT28是一個由俄羅斯軍事情報部門運作的國傢支持的黑客組織,據美國和英國政府稱,黑客正在利用思科路由器中一個六年前的漏洞來部署惡意軟件和進行監視。在周二發佈的一份聯合公告中,美國網絡安全機構CISA與聯邦調查局、國傢安全局和英國國傢網絡安全中心一起詳細說明俄羅斯支持的黑客如何在整個2021年利用思科路由器的漏洞,目的是針對歐洲組織和美國政府機構。
咨詢報告說,黑客還入侵"大約250名烏克蘭受害者",這些機構沒有透露姓名。APT28也被稱為Fancy Bear,以代表俄羅斯政府進行一系列網絡攻擊、間諜活動以及黑客和泄密信息行動而聞名。
根據聯合公告,黑客利用思科在2017年修補的一個可遠程利用的漏洞,部署一個被稱為"美洲豹牙"的定制惡意軟件,該軟件旨在感染未打補丁的路由器。
為安裝該惡意軟件,威脅者使用默認或容易猜測的SNMP社區字符串掃描面向互聯網的思科路由器。
SNMP,即簡單網絡管理協議,允許網絡管理員遠程訪問和配置路由器,以代替用戶名或密碼,但也可能被濫用來獲取敏感的網絡信息。一旦安裝,該惡意軟件就會從路由器中滲出信息,並提供對設備的隱秘後門訪問。
思科Talos的威脅情報總監Matt Olney在一篇博文中說,這次活動是"一個更廣泛的趨勢,即復雜的對手將網絡基礎設施作為目標,以推進間諜活動的目標或為未來的破壞性活動做準備"的一個例子。
"思科對網絡基礎設施的高精尖攻擊率的增加深感擔憂--我們已經觀察到,並且看到由各種情報組織發佈的許多報告所證實的情況--表明國傢支持的行為者正在瞄準全球的路由器和防火墻,"奧爾尼補充說,除俄羅斯之外,還有其他國傢支持的黑客被發現在一些活動中攻擊網絡設備,例如利用Fortinet設備的一個零日漏洞,對政府組織進行一系列攻擊。