Agenzie di sicurezza informatica e intelligence di Stati Uniti e Regno Unito hanno recentemente messo in guardia riguardo attori statali russi che sfruttano vulnerabilità, ora corrette, nei dispositivi di rete Cisco per condurre operazioni di ricognizione e diffusione di malware contro obiettivi sensibili.
Il gruppo APT28 e le sue azioni
Le intrusioni, secondo le autorità, si sono verificate nel 2021 e hanno colpito un numero limitato di entità in Europa, istituzioni governative statunitensi e circa 250 vittime ucraine. L’attività è stata attribuita a un attore minaccioso noto come APT28, anche conosciuto come Fancy Bear, Forest Blizzard (ex Strontium), FROZENLAKE e Sofacy, affiliato alla Direzione principale dell’intelligence generale russa (GRU).
L’exploit delle vulnerabilità nei router Cisco
“APT28 è noto per accedere ai router vulnerabili utilizzando stringhe comunitarie SNMP predefinite e deboli, e sfruttando la CVE-2017-6742”, ha dichiarato il National Cyber Security Centre (NCSC). La CVE-2017-6742 (punteggio CVSS: 8,8) fa parte di un insieme di vulnerabilità di esecuzione di codice remoto derivanti da un overflow di buffer nel sottosistema Simple Network Management Protocol (SNMP) nei software Cisco IOS e IOS XE.
Malware Jaguar Tooth e le sue funzionalità
Negli attacchi osservati dalle agenzie, l’attore minaccioso ha sfruttato la vulnerabilità per diffondere un malware non persistente chiamato Jaguar Tooth sui router Cisco. Questo malware è in grado di raccogliere informazioni sui dispositivi e consentire l’accesso backdoor senza autenticazione.
L’importanza della gestione delle patch
Sebbene questi problemi siano stati corretti nel giugno 2017, dal 11 gennaio 2018 sono stati sfruttati pubblicamente, sottolineando la necessità di pratiche solide di gestione delle patch per limitare la superficie di attacco. Oltre all’aggiornamento all’ultimo firmware per mitigare le potenziali minacce, Cisco consiglia anche agli utenti di passare da SNMP a NETCONF o RESTCONF per la gestione della rete.
Una campagna più ampia di attacchi informatici
Cisco Talos, in un comunicato coordinato, ha affermato che questi attacchi fanno parte di una campagna più ampia contro dispositivi e software di rete obsoleti di vari produttori, al fine di “raggiungere obiettivi di spionaggio o predisporre il terreno per future attività distruttive”.
L’installazione di software dannoso e il furto di credenziali
Questa campagna include l’installazione di software dannoso su dispositivi infrastrutturali, il tentativo di sorvegliare il traffico di rete e gli attacchi lanciati da “avversari con accesso preesistente agli ambienti interni, mirati ai server TACACS+/RADIUS per ottenere credenziali”.
Un allarme dopo attacchi precedenti
L’allarme arriva alcuni mesi dopo che il governo degli Stati Uniti ha lanciato un avvertimento riguardo agli attori cyber sponsorizzati dallo stato cinese che sfruttavano le vulnerabilità della rete per colpire organizzazioni del settore pubblico e privato dal 2020. Inoltre, all’inizio di quest’anno, la Mandiant di proprietà di Google ha evidenziato gli sforzi intrapresi dagli attori minacciosi sponsorizzati dallo stato cinese per distribuire malware su misura su dispositivi Fortinet e SonicWall vulnerabili.
La crescente minaccia degli attori avanzati di spionaggio informatico
Mandiant ha affermato: “Gli attori avanzati della minaccia di spionaggio informatico stanno sfruttando tutte le tecnologie disponibili per persistere e attraversare un ambiente target, in particolare quelle tecnologie che non supportano le soluzioni di endpoint detection and response (EDR)”.
