.
Os governos do Reino Unido e dos EUA soaram o alarme sobre a inteligência russa visando roteadores Cisco não corrigidos para implantar malware e realizar vigilância.
Em um assessoria conjunta emitido na terça-feira, o Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), a NSA, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) e o FBI forneceram detalhes sobre como o APT28 da Rússia – também conhecido como FancyBear e Stronium – explorou uma vulnerabilidade antiga em roteadores Cisco não corrigidos em 2021 para coletar informações de rede pertencentes a organizações governamentais europeias e americanas e cerca de 250 vítimas ucranianas.
O APT28 é entendido como uma peça-chave na máquina de inteligência militar russa: é uma tripulação ligada ao GRU responsável por, entre outras coisas, o 2015 roubo de dados do parlamento alemão, o Saque do Comitê Nacional Democrata dos EUA um ano depois, o tentativa de invasão na Organização para a Proibição de Armas Químicas do Reino Unido em abril de 2018, e uma série de ataques cibernéticos contra a Ucrânia desde o início da invasão russa.
“Os TTPs neste comunicado ainda podem ser usados contra dispositivos Cisco vulneráveis”, disse o comunicado do governo, referindo-se às táticas, técnicas e procedimentos empregados pela Rússia para comprometer o equipamento de rede.
Para ser claro: esta é uma vulnerabilidade de quase seis anos que a Cisco divulgado e corrigido em 2017. O fornecedor de rede atualizou seu aviso de segurança quando tomou conhecimento de exploits in-the-wild do bug agora corrigido.
Em um aviso separado, também emitido na terça-feira, a Cisco disse que não são apenas os espiões russos tentando atacar a infraestrutura de rede – e não é apenas o equipamento da Cisco que eles estão perseguindo.
“A Cisco está profundamente preocupada com um aumento na taxa de ataques de alta sofisticação à infraestrutura de rede – que observamos e vimos corroborados por vários relatórios emitidos por várias organizações de inteligência – indicando que atores patrocinados pelo estado estão visando roteadores e firewalls globalmente”, disse. Matt Olney, diretor de inteligência contra ameaças do Cisco Talos disse.
Em entrevista com Strong The OneJJ Cummings, diretor de inteligência nacional da Cisco Talos, disse que a equipe de caça a ameaças da gigante de TI viu esse tipo de direcionamento de roteador sendo usado para espionagem e para oferecer suporte a ataques mais descritivos, muito mais recentemente do que 2021.
As operadoras de rede são incentivadas… a manter um ambiente operacional de alta disponibilidade. Estamos vendo os dispositivos irem [unpatched] por anos em um momento
“Os operadores de rede são, francamente, incentivados, e todo o seu objetivo é manter um ambiente operacional de alta disponibilidade para o restante de sua organização”, disse Cummings. “Quando eles são incentivados a fazer isso, estamos vendo casos em que os dispositivos permanecem intocados por anos a fio, ou até mais potencialmente, tudo em nome de manter esse tempo de atividade e essa disponibilidade”.
Essa disponibilidade de longo prazo vem com o custo de equipamentos não corrigidos: as atualizações não são aplicadas para evitar o tempo de inatividade ou qualquer interrupção dos negócios. “A segurança desse dispositivo nem sempre está em primeiro lugar”, disse Cummings.
Abusando do SNMP com uma mordida de ‘Jaguar Tooth’
Nos ataques de 2021, os espiões do Kremlin usaram o protocolo simples de gerenciamento de rede (SNMP) para acessar roteadores Cisco em todo o mundo. Este protocolo é normalmente usado por administradores de rede para monitorar e configurar dispositivos remotamente. Como foi o caso da Rússia, ela pode ser usada contra equipamentos vulneráveis e mal protegidos para se infiltrar nas redes das organizações.
“Várias ferramentas de software podem escanear toda a rede usando SNMP, o que significa que uma configuração ruim, como usar strings de comunidade padrão ou fáceis de adivinhar, pode tornar uma rede suscetível a ataques”, disse o NCSC. “Sequências de comunidade SNMP fracas, incluindo o ‘público’ padrão, permitiram que o APT28 obtivesse acesso às informações do roteador.”
Depois de explorar cadeias de comunidade SNMP fracas para acessar roteadores, os invasores implantaram o malware Jaguar Tooth [PDF]que coletou mais informações do dispositivo e as enviou de volta aos intrusos por meio do protocolo trivial de transferência de arquivos (TFTP) e também permitiu o acesso backdoor não autenticado à rede para que os bisbilhoteiros de Moscou pudessem manter a persistência.
A Talos, por sua vez, disse que a Cisco não é a única fabricante de dispositivos na mira dos espiões do estado-nação. Sua equipe detectou uma ferramenta de varredura visando “quase 20” fabricantes de roteadores e switches, observou Olney.
Além disso, os espiões chineses são tão propensos quanto seus colegas russos a visar equipamentos de rede, acrescentou o alerta Talos, citando um aviso CISA a partir de junho de 2022.
“É razoável concluir que qualquer suficientemente capaz operação de inteligência nacional desenvolveria e usaria a capacidade de comprometer a infraestrutura de comunicações de seus alvos preferidos”, escreveu Olney.
“Observamos manipulação de tráfego, cópia de tráfego, configurações ocultas, malware de roteador, reconhecimento de infraestrutura e enfraquecimento ativo das defesas por adversários operando em equipamentos de rede”, continuou ele. “Dada a variedade de atividades em que vimos os adversários se envolverem, eles demonstraram um nível muito alto de conforto e experiência trabalhando dentro dos limites de equipamentos de rede comprometidos.” ®
.
