قراصنة روس يستغلون ثغرة سيسكو عمرها ست سنوات لاستهداف الوكالات الحكومية الأمريكية
تستغل APT28 وهي مجموعة قرصنة ترعاها الدولة تديرها المخابرات العسكرية الروسية ثغرة أمنية عمرها ست سنوات في أجهزة توجيه Cisco لنشر برامج ضارة وتنفيذ المراقبة وفقاً لحكومتي الولايات المتحدة والمملكة المتحدة.
في استشارة مشتركة صدرت يوم الثلاثاء قامت وكالة الأمن السيبراني الأمريكية CISA جنباً إلى جنب مع مكتب التحقيقات الفيدرالي ووكالة الأمن القومي والمركز الوطني للأمن السيبراني في المملكة المتحدة بتفصيل كيف استغل المتسللون المدعومون من روسيا نقاط ضعف أجهزة التوجيه Cisco طوال عام 2021 بهدف استهداف المنظمات الأوروبية والمؤسسات الحكومية الأمريكية. وقال التحذير إن المتسللين اخترقوا أيضاًما يقرب من 250 ضحية أوكرانية، لم تذكر الوكالات اسمها. تشتهر APT28 المعروفة أيضاً باسم Fancy Bear بتنفيذ مجموعة من الهجمات الإلكترونية والتجسس وعمليات الاختراق والتسريب نيابة عن الحكومة الروسية.
وفقاً للاستشارة المشتركة استغل المتسللون ثغرة أمنية قابلة للاستغلال عن بعد تم تصحيحها بواسطة Cisco في عام 2017 لنشر برنامج ضار مصمم خصيصاً يطلق عليه اسم “Jaguar Tooth” والذي تم تصميمه لإصابة أجهزة التوجيه غير المصححة.
لتثبيت البرامج الضارة يقوم ممثلو التهديد بالبحث عن أجهزة توجيه Cisco المواجهة للإنترنت باستخدام سلسلة مجتمع SNMP افتراضية أو سهلة التخمين. يسمح SNMP أو بروتوكول إدارة الشبكة البسيط لمسؤولي الشبكة بالوصول عن بعد إلى أجهزة التوجيه وتكوينها بدلاً من اسم المستخدم أو كلمة المرور ولكن يمكن أيضاً إساءة استخدامها للحصول على معلومات الشبكة الحساسة. وقالت الوكالات إنه بمجرد التثبيت تقوم البرامج الضارة باستخراج المعلومات من جهاز التوجيه وتوفر وصولاً خلفياً خفياً إلى الجهاز.
وقال مات أولني مدير استخبارات التهديدات في سيسكو تالوس، في منشور على مدونة إن هذه الحملة هي مثال على “اتجاه أوسع بكثير من الخصوم المتطورين الذين يستهدفون البنية التحتية للشبكات لتعزيز أهداف التجسس أو الإعداد المسبق للنشاط المدمر في المستقبل”.
وقال أولني: “تشعر سيسكو بقلق عميق إزاء الزيادة في معدل الهجمات عالية التعقيد على البنية التحتية للشبكة التي لاحظناها ورأيناها تؤكدها العديد من التقارير الصادرة عن منظمات استخبارات مختلفة مما يشير إلى أن الجهات الفاعلة التي ترعاها الدولة تستهدف أجهزة التوجيه والجدران النارية على مستوى العالم. وأضاف أولني أنه بالإضافة إلى روسيا شوهدت الصين أيضاً وهي تهاجم معدات الشبكة في العديد من الحملات. في وقت سابق من هذا العام ذكرت Mandiant أن المهاجمين المدعومين من الدولة الصينية استغلوا ثغرة يوم الصفر في أجهزة Fortinet لتنفيذ سلسلة من الهجمات على المنظمات الحكومية.