APT28是一个由俄罗斯军事情报部门运作的国家支持的黑客组织,据美国和英国政府称,黑客正在利用思科路由器中一个六年前的漏洞来部署恶意软件和进行监视。在周二发布的一份联合公告中,美国网络安全机构CISA与联邦调查局、国家安全局和英国国家网络安全中心一起详细说明了俄罗斯支持的黑客如何在整个2021年利用思科路由器的漏洞,目的是针对欧洲组织和美国政府机构。
咨询报告说,黑客还入侵了"大约250名乌克兰受害者",这些机构没有透露姓名。APT28也被称为FancyBear,以代表俄罗斯政府进行一系列网络攻击、间谍活动以及黑客和泄密信息行动而闻名。
根据联合公告,黑客利用了思科在2017年修补的一个可远程利用的漏洞,部署了一个被称为"美洲豹牙"的定制恶意软件,该软件旨在感染未打补丁的路由器。
为了安装该恶意软件,威胁者使用默认或容易猜测的SNMP社区字符串扫描面向互联网的思科路由器。
SNMP,即简单网络管理协议,允许网络管理员远程访问和配置路由器,以代替用户名或密码,但也可能被滥用来获取敏感的网络信息。一旦安装,该恶意软件就会从路由器中渗出信息,并提供对设备的隐秘后门访问。
思科Talos的威胁情报总监MattOlney在一篇博文中说,这次活动是"一个更广泛的趋势,即复杂的对手将网络基础设施作为目标,以推进间谍活动的目标或为未来的破坏性活动做准备"的一个例子。
"思科对网络基础设施的高精尖攻击率的增加深感担忧--我们已经观察到了,并且看到了由各种情报组织发布的许多报告所证实的情况--表明国家支持的行为者正在瞄准全球的路由器和防火墙,"奥尔尼补充说,除了俄罗斯之外,还有其他国家支持的黑客被发现在一些活动中攻击网络设备,例如利用Fortinet设备的一个零日漏洞,对政府组织进行了一系列攻击。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】