Ngày 19 tháng 4 năm 2023Ravie Lakshmanan An ninh mạng / Gián điệp mạng
Các cơ quan tình báo và an ninh mạng của Vương quốc Anh và Hoa Kỳ đã cảnh báo về việc các tác nhân quốc gia Nga khai thác các lỗ hổng hiện đã được vá trong thiết bị mạng của Cisco để tiến hành do thám và triển khai phần mềm độc hại chống lại các mục tiêu được chọn.
Theo các nhà chức trách, các vụ xâm nhập diễn ra vào năm 2021 và nhắm mục tiêu vào một số ít thực thể ở Châu Âu, các tổ chức chính phủ Hoa Kỳ và khoảng 250 nạn nhân người Ukraine.
Hoạt động này được quy cho một tác nhân đe dọa được theo dõi là APT28, còn được gọi là Fancy Bear, Forest Blizzard (trước đây là Strontium), FROZENLAKE và Sofacy, và được liên kết với Tổng cục Tình báo Chính của Bộ Tổng tham mưu Nga (GRU).
“APT28 đã được biết là truy cập vào các bộ định tuyến dễ bị tổn thương bằng cách sử dụng chuỗi cộng đồng SNMP yếu và mặc định, đồng thời bằng cách khai thác CVE-2017-6742,” Trung tâm An ninh Mạng Quốc gia (NCSC) cho biết.
CVE-2017-6742 (điểm CVSS: 8,8) là một phần của tập hợp các lỗi thực thi mã từ xa xuất phát từ tình trạng tràn bộ đệm trong hệ thống con Giao thức quản lý mạng đơn giản (SNMP) trong phần mềm Cisco IOS và IOS XE.
Trong các cuộc tấn công mà các cơ quan quan sát được, tác nhân đe dọa đã vũ khí hóa lỗ hổng để triển khai phần mềm độc hại không liên tục có tên là Jaguar Tooth trên các bộ định tuyến của Cisco có khả năng thu thập thông tin thiết bị và cho phép truy cập cửa sau không được xác thực.
Mặc dù các sự cố đã được Cisco vá vào tháng 6 năm 2017, nhưng kể từ đó, chúng đã được khai thác công khai kể từ ngày 11 tháng 1 năm 2018, nhấn mạnh sự cần thiết của các biện pháp quản lý bản vá mạnh mẽ để hạn chế bề mặt tấn công.
Bên cạnh việc cập nhật lên chương trình cơ sở mới nhất để giảm thiểu các mối đe dọa tiềm ẩn, công ty cũng khuyến nghị người dùng chuyển từ SNMP sang NETCONF hoặc RESTCONF để quản lý mạng.
Cisco Talos, trong một cố vấn phối hợp, cho biết các cuộc tấn công là một phần của chiến dịch rộng lớn hơn chống lại các thiết bị mạng và phần mềm cũ kỹ từ nhiều nhà cung cấp khác nhau nhằm “thúc đẩy các mục tiêu gián điệp hoặc tạo tiền đề cho hoạt động phá hoại trong tương lai.”
Điều này bao gồm việc cài đặt phần mềm độc hại vào thiết bị cơ sở hạ tầng, cố gắng giám sát lưu lượng mạng và các cuộc tấn công được thực hiện bởi “những kẻ thù có quyền truy cập từ trước vào môi trường nội bộ nhằm vào các máy chủ TACACS+/RADIUS để lấy thông tin đăng nhập.”
Matt Olney, giám đốc tình báo mối đe dọa và ngăn chặn tại Cisco, cho biết: “Các thiết bị định tuyến/chuyển mạch ổn định, ít được kiểm tra từ góc độ bảo mật, thường được vá kém và cung cấp khả năng hiển thị mạng sâu”.
“Họ là mục tiêu hoàn hảo cho một kẻ thù muốn vừa im lặng vừa có quyền truy cập vào khả năng tình báo quan trọng cũng như có chỗ đứng trong một mạng ưa thích. Các cơ quan tình báo quốc gia và các tác nhân được nhà nước bảo trợ trên toàn cầu đã tấn công cơ sở hạ tầng mạng như một mục tiêu của ưu tiên hàng đầu.”
Cảnh báo được đưa ra vài tháng sau khi chính phủ Hoa Kỳ gióng lên hồi chuông cảnh báo về các nhóm tin tặc quốc gia có trụ sở tại Trung Quốc tận dụng các lỗ hổng mạng để khai thác các tổ chức khu vực công và tư nhân kể từ ít nhất là năm 2020.
Sau đó, vào đầu năm nay, Mandiant thuộc sở hữu của Google đã nêu bật những nỗ lực được thực hiện bởi các tác nhân đe dọa do nhà nước Trung Quốc tài trợ nhằm triển khai phần mềm độc hại riêng biệt trên các thiết bị fortinet và SonicWall dễ bị tấn công.
“Các tác nhân đe dọa gián điệp mạng tiên tiến đang tận dụng lợi thế của bất kỳ công nghệ nào có sẵn để tồn tại và vượt qua môi trường mục tiêu, đặc biệt là những công nghệ không hỗ trợ [endpoint detection and response] giải pháp,” Mandiant nói.
