حذرت وكالات الأمن السيبراني والاستخبارات في المملكة المتحدة والولايات المتحدة من قيام الجهات الفاعلة في الدولة القومية الروسية باستغلال العيوب المصححة الآن في معدات الشبكات من سيسكو لإجراء الاستطلاع ونشر البرامج الضارة ضد أهداف محددة.
وقعت عمليات الاقتحام ، حسب السلطات ، في عام 2021 واستهدفت عددًا صغيرًا من الكيانات في أوروبا والمؤسسات الحكومية الأمريكية وحوالي 250 ضحية أوكرانية.
يُعزى النشاط إلى عامل تهديد تم تتبعه باسم APT28 ، والذي يُعرف أيضًا باسم Fancy Bear و Forest Blizzard (سابقًا Strontium) و FROZENLAKE و Sofacy ، وهو تابع لمديرية المخابرات الرئيسية للأركان العامة الروسية (GRU).
قال المركز الوطني للأمن السيبراني (NCSC): "من المعروف أن APT28 تصل إلى أجهزة التوجيه الضعيفة باستخدام سلاسل مجتمع SNMP الافتراضية والضعيفة ، ومن خلال استغلال CVE-2017-6742".
CVE-2017-6742 (درجة CVSS: 8.8) هو جزء من مجموعة من عيوب تنفيذ التعليمات البرمجية عن بُعد التي تنجم عن حالة تجاوز سعة المخزن المؤقت في النظام الفرعي لبروتوكول إدارة الشبكة البسيط ( SNMP ) في برنامجي Cisco IOS و IOS XE.
في الهجمات التي لاحظتها الوكالات ، قام الفاعل بتسليح الثغرة الأمنية لنشر برنامج ضار غير دائم يُطلق عليه اسم Jaguar Tooth على أجهزة توجيه Cisco القادرة على جمع معلومات الجهاز وتمكين الوصول غير المصدق من الباب الخلفي.
بينما تم تصحيح المشكلات بواسطة Cisco في يونيو 2017 ، إلا أنها تعرضت منذ ذلك الحين للاستغلال العام اعتبارًا من 11 يناير 2018 ، مما يؤكد الحاجة إلى ممارسات إدارة التصحيح القوية للحد من سطح الهجوم.
إلى جانب التحديث إلى أحدث البرامج الثابتة للتخفيف من التهديدات المحتملة ، توصي الشركة أيضًا بأن يقوم المستخدمون بالتبديل من SNMP إلى NETCONF أو RESTCONF لإدارة الشبكة.
وقالت شركة سيسكو تالوس ، في تقرير استشاري منسق ، إن الهجمات هي جزء من حملة أوسع ضد أجهزة الشبكات القديمة والبرمجيات من مجموعة متنوعة من البائعين من أجل "تعزيز أهداف التجسس أو الإعداد المسبق للنشاط التدميري في المستقبل".
يتضمن ذلك تثبيت البرامج الضارة في جهاز البنية التحتية ، ومحاولات مراقبة حركة مرور الشبكة ، والهجمات التي يشنها "خصوم لديهم وصول سابق إلى البيئات الداخلية التي تستهدف خوادم TACACS + / RADIUS للحصول على بيانات الاعتماد."
قال مات أولني ، مدير استخبارات التهديدات والحظر في شركة سيسكو: "أجهزة التوجيه / المفاتيح مستقرة ، ونادرًا ما يتم فحصها من منظور أمني ، وغالبًا ما يتم تصحيحها بشكل سيئ وتوفر رؤية عميقة للشبكة".
"إنهم الهدف المثالي لخصم يتطلع إلى الهدوء والوصول إلى قدرات استخباراتية مهمة بالإضافة إلى موطئ قدم في شبكة مفضلة. لقد هاجمت وكالات الاستخبارات الوطنية والجهات الفاعلة التي ترعاها الدولة في جميع أنحاء العالم البنية التحتية للشبكة كهدف التفضيل الأساسي ".
يأتي التحذير بعد أشهر من دقت الحكومة الأمريكية ناقوس الخطر بشأن طواقم القرصنة التي تتخذ من الصين مقراً لها والتي تستفيد من نقاط الضعف في الشبكة لاستغلال مؤسسات القطاعين العام والخاص منذ عام 2020 على الأقل.
ثم في وقت سابق من هذا العام ، سلط مانديانت المملوك لشركة Google الضوء على الجهود التي تبذلها الجهات الفاعلة التي ترعاها الدولة الصينية لنشر برامج ضارة مخصصة على أجهزة Fortinet و SonicWall الضعيفة .
قال مانديانت: "تستفيد الجهات الفاعلة في مجال تهديدات التجسس الإلكتروني المتقدمة من أي تقنية متاحة للاستمرار في بيئة مستهدفة واجتيازها ، خاصة تلك التقنيات التي لا تدعم حلول [اكتشاف نقطة النهاية والاستجابة لها]".