Los piratas informáticos rusos explotan una falla de Cisco de seis años para apuntar a las agencias gubernamentales de EE. UU.
APT28, un grupo de piratería patrocinado por el estado y operado por la inteligencia militar rusa, está explotando una vulnerabilidad de hace seis años en los enrutadores de Cisco para implementar malware y realizar vigilancia, según los gobiernos de EE. UU. y el Reino Unido.
En un consejo conjunto publicado el martes, la agencia de ciberseguridad de EE. UU. CISA, el FBI, la NSA y el Centro Nacional de Seguridad Cibernética del Reino Unido detallan cómo los piratas informáticos respaldados por Rusia explotaron las vulnerabilidades en los enrutadores de Cisco a lo largo de 2021 con el objetivo de apuntar a organizaciones europeas e instituciones gubernamentales de EE. UU. El aviso decía que los piratas informáticos también piratearon «alrededor de 250 víctimas ucranianas», a quienes las agencias no identificaron.
Se sabe que APT28, también conocido como Fancy Bear, ha llevado a cabo una serie de operaciones de ciberataques, espionaje y piratería y filtración de información en nombre del gobierno ruso.
Según el aviso conjunto, los piratas informáticos explotaron una vulnerabilidad explotable remotamente parcheado por Cisco en 2017 para implementar malware personalizado llamado «Jaguar Tooth», diseñado para infectar enrutadores sin parchear.
Para instalar el malware, los piratas informáticos buscan enrutadores Cisco conectados a Internet utilizando una cadena de comunidad SNMP predeterminada o fácil de adivinar.
SNMP, o Protocolo simple de administración de red, permite a los administradores de red acceder y configurar de forma remota los enrutadores en lugar de un nombre de usuario o contraseña, pero también puede usarse indebidamente para obtener información confidencial de la red.
Una vez instalado, el malware extrae información del enrutador y brinda acceso sigiloso al dispositivo a través de una puerta trasera, dijeron las agencias.
Matt Olney, director de inteligencia de amenazas en Cisco Talos, dijo en una entrada de blog esta campaña es un ejemplo de «una tendencia mucho más amplia de adversarios sofisticados que apuntan a la infraestructura de la red para promover objetivos de espionaje o prepararse para futuras actividades destructivas».
“Cisco está profundamente preocupado por la creciente tasa de ataques altamente sofisticados en la infraestructura de la red, que hemos observado y visto corroborados por numerosos informes de varias organizaciones de inteligencia, lo que indica que los actores patrocinados por el estado están apuntando a enrutadores y cortafuegos en todo el mundo. dice Olney.
Olney agregó que, además de Rusia, también se ha visto a China atacando equipos de red en varias campañas.
A principios de este año, Mandiant reportado que los atacantes respaldados por el estado chino han explotado una vulnerabilidad de día cero en los dispositivos Fortinet para llevar a cabo una serie de ataques contra organizaciones gubernamentales.