Nasilają się ataki na infrastrukturę informatyczną firm w Polsce i organizacji w Europie. Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) oraz Cisco wydali we wtorek zalecenia dotyczące ataków na routery, przeprowadzane rzekomo przez rosyjskich hakerów wojskowych. Poniżej opisujemy, jak się chronić i jak zabezpieczyć środowisko IT na wypadek takiego ataku.
W raporcie do CISA dołączyły FBI, NSA i brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego (NCSC). Zwracają oni uwagę na działania grupy hakerskiej APT28 – według agencji jest nią 85. Jednostka Wywiadu Wojskowego 26165.
Krótko o APT28
APT28 (znana wśród badaczy jako „Fancy Bear” i „STRONTIUM”) jest od dawna jedną z najbardziej płodnych wojskowych grup hakerskich działających poza Rosją. W ostatnich latach przeprowadziła dziesiątki kampanii dezinformacyjnych i hakerskich na rządy niektórych państw. Grupa często polegała na wiadomościach e-mail typu spear phishing, aby atakować wybrane cele – a kilka firm zwracało uwagę na ich pracę.
Zgodnie z raportem Mandiant ATP28 wzięło udział w wielu cyberatakach, podczas których wykradło bardzo poufne informacje dotyczące m.in. konfliktu w Syrii, stosunków NATO-Ukraina, kryzysu uchodźczego i migracyjnego w Unii Europejskiej, igrzysk olimpijskich i paraolimpijskich w 2016 r., skandalu dopingowego rosyjskich sportowców, publicznych oskarżeń w sprawie hakowania sponsorowanego przez państwo rosyjskie i wyborów prezydenckich w USA w 2016 roku.
ATP28 było również powiązane z cyberatakiem na amerykańskiego dostawcę łączności satelitarnej Viasat.
Jak APT28 atakuje CISCO?
Podobno grupa wykorzystywała luki w routerach Cisco przez cały 2021 rok, atakując „niewielką liczbę rządów państw europejskich, USA i około 250 ukraińskich ofiar”.
Wcześniej NCSC przypisywało ataki na niemiecki parlament w 2015 roku i na Organizację ds. Zakazu Broni Chemicznej (OPCW) w kwietniu 2018 roku właśnie APT28.
Słabe lub skradzione poświadczenia SNMP umożliwiają przeprowadzenie ataku
Raport mówi, iż grupa zastosowała dwa różne ataki, aby wycelować w routery Cisco. Jednym z nich było wykorzystanie protokołu Simple Network Management (SNMP) – narzędzia, które umożliwia administratorom sieci zdalne monitorowanie i konfigurowanie urządzeń sieciowych. Narzędzia te mogą być wykorzystywane do kradzieży poufnych informacji sieciowych, a następnie do penetracji sieci, twierdzi CISA.
„Wiele narzędzi programowych może skanować całą sieć dzięki protokołu SNMP, co oznacza, iż zła konfiguracja, na przykład użycie domyślnych lub łatwych do odgadnięcia poświadczeń, może narazić sieć na atak” — wyjaśnia CISA. „Słabe zabezpieczenia SNMP, w tym domyślne poświadczenia »publiczne«, umożliwiły APT28 uzyskanie dostępu do informacji o routerze”.
Hakerzy wykorzystali również podatność CVE-2017-6742, lukę SNMP załataną przez Cisco w czerwcu 2017 roku.
Zalecenia Cisco w tamtym czasie przewidywały kilka obejść, które obejmowały ograniczenie dostępu do SNMP tylko z zaufanych hostów lub wyłączenie wielu baz informacji zarządzania SNMP (MIB).
CISA podaje, iż APT28 stosował złośliwe oprogramowanie do wykorzystywania SNMP w celu uzyskania informacji o urządzeniu i eksfiltracji danych. NCSC nazwał tę kampanię złośliwego systemu „Jaguar Tooth”, a Matt Olney z Cisco powiedział, iż jest to „przykład znacznie szerszego trendu, w którym wyrafinowani cyberprzestępcy atakują infrastrukturę sieciową w celu osiągnięcia celów szpiegowskich lub przygotowania się do przyszłej destrukcyjnej działalności”.
„Podczas gdy obserwowano ataki na infrastrukturę wszelkiego rodzaju, atakujący odnieśli szczególne sukcesy w kompromitowaniu infrastruktury dzięki nieaktualnego oprogramowania” — powiedział Olney. „Cisco jest głęboko zaniepokojony wzrostem liczby wysoce wyrafinowanych ataków na infrastrukturę sieciową — co zaobserwowaliśmy i co potwierdzają liczne raporty różnych organizacji wywiadowczych — wskazujące, iż podmioty sponsorowane przez państwo atakują routery i zapory ogniowe na całym świecie”.
Olney wyjaśnił w poście na blogu, iż oprócz Rosji w kilku kampaniach zauważono również Chiny, atakujące sprzęt sieciowy.
Rzecznik Cisco podał, iż firma przez cały czas obserwuje rosnącą liczbę ataków na szczególnie przestarzałe urządzenia sieciowe i oprogramowanie wszystkich dostawców.
„Dzisiejsze ostrzeżenie pokazuje, iż wyrafinowani przeciwnicy systematycznie wykorzystują znane luki w zabezpieczeniach, w tym przypadku lukę SNMP w oprogramowaniu Cisco IOS i Cisco IOS XE, która została ujawniona przez Cisco 29 czerwca 2017 roku, wraz z naprawionym oprogramowaniem udostępnionym wszystkim klientom tego samego dnia” – powiedział rzecznik.
Jak można załagodzić problem?
Zalecane jest podjęcie następujących kroków:
- Wyłącz zdalne zarządzanie urządzeniami, których dotyczy problem.
- Zaktualizuj routery do najnowszego załatanego oprogramowania, aby zlikwidować lukę CVE-2017-6742.
- Ogranicz dostęp SNMP tylko do zaufanych hostów lub wyłącz określone bazy danych zarządzania SNMP (MIB), aby zmniejszyć powierzchnię ataku.
- Używaj silnych, unikalnych poświadczeń (nazwa użytkownika i hasło) SNMP zamiast domyślnych lub łatwych do odgadnięcia.
- Rozważ uaktualnienie do protokołu SNMP v3, który obsługuje szyfrowanie, aby chronić poufne informacje sieciowe.
Więcej szczegółów znajdziesz tutaj.
Jak chronić całe środowisko IT?
Jeśli chodzi o bezpieczne zarządzanie systemem, NCSC zaleca przestrzeganie poniższych zasad zarówno w przypadku personelu wewnętrznego, jak i wszystkich dostawców zewnętrznych mających dostęp do interfejsów administracyjnych:
- Zabezpiecz wszystkie urządzenia używane do uzyskiwania dostępu do interfejsów administracyjnych systemu, aby uniemożliwić atakującym wykorzystanie legalnych funkcji.
- Upewnij się, iż tylko autoryzowani użytkownicy mają dostęp do interfejsów z wysokimi uprawnieniami systemowymi.
- Zastosuj pragmatyczne zarządzanie ryzykiem do administrowania systemem dzięki administracji warstwowej, ponieważ niektóre poziomy dostępu powodują większe szkody niż inne.
- Kontroluj dostęp administratora na podstawie tego, kto, gdzie, kiedy, dlaczego i jak wykonuje zadania. Nadaj najmniejsze uprawnienia i cofnij dostęp, gdy nie jest on konieczny.
- Rejestruj/nagrywaj całe postępowanie administracyjne i kontroluj je, aby upewnić się, iż przeprowadzane są tylko uzasadnione i zatwierdzone działania.
Odnośnie do powyższych metod zabezpieczeń polecamy kontakt z firmą Appeal oraz zapoznanie się z koncepcją zabarykadowania środowiska IT przed atakiem.