Potwierdził się najgorszy scenariusz. Rosyjscy hakerzy kontrolują sieci na całym świecie

FBI oraz eksperci ds. bezpieczeństwa cybernetycznego ostrzegli, że rosyjscy cyberszpiedzy wykorzystali lukę w wycofanych z użytku urządzeniach sieciowych Cisco do infiltracji amerykańskich sieci infrastruktury krytycznej. Luka ta, istniejąca od siedmiu lat, umożliwiła zbieranie poufnych danych dotyczących systemów przemysłowych.

„W zeszłym roku FBI wykryło, że napastnicy gromadzili pliki konfiguracyjne tysięcy urządzeń sieciowych powiązanych z amerykańskimi podmiotami z sektora infrastruktury krytycznej” – poinformowali federalni agenci. Śledczy potwierdzili, że w wielu przypadkach napastnicy modyfikowali konfiguracje urządzeń, umożliwiając im zdalny i nieautoryzowany dostęp.

Ślad prowadzi do FSB

Według ustaleń FBI oraz zespołu Cisco Talos, ataki zostały przeprowadzone przez grupę związaną z rosyjską Federalną Służbą Bezpieczeństwa, znaną jako Centrum 16. Grupa ta działa w sieci od ponad dekady, wykorzystując przestarzałe protokoły i luki w oprogramowaniu popularnych urządzeń sieciowych.

Eksperci przypominają, że w przeszłości ci sami hakerzy używali niestandardowego złośliwego oprogramowania, między innymi implantu SYNful Knock z 2015 roku, aby uzyskać pełną kontrolę nad wybranymi routerami.

Stare błędy wciąż groźne

Nowa fala włamań opiera się na luce w protokole SNMP w urządzeniach Cisco, które od lat są wycofane z rynku, lecz nadal działają w niektórych sieciach. Szczególnie niebezpieczny okazał się błąd oznaczony jako CVE-2018-0171 w funkcji Cisco Smart Install. Luka ta została załatana w marcu 2018 roku, ale wiele organizacji nigdy nie zaktualizowało swoich systemów.

Rzecznik Cisco potwierdził, że firma jest świadoma aktywności związanej z tą podatnością. Podkreślił również konieczność natychmiastowego instalowania najnowszych wersji oprogramowania i stosowania się do rekomendowanych procedur bezpieczeństwa.

Globalny zasięg kampanii

Eksperci Cisco Talos – Sara McBroom i Brandon White – poinformowali, że kampania cyberszpiegowska objęła organizacje w Ameryce Północnej, Azji, Afryce oraz Europie. Ofiary wybierane są na podstawie strategicznych interesów rządu rosyjskiego.

Badacze uważają, że głównym celem jest przejęcie i analiza konfiguracji urządzeń, co pozwala na późniejsze wykorzystanie zebranych danych do bardziej precyzyjnych działań ofensywnych.

Choć obecne śledztwo skupia się na działaniach rosyjskiego wywiadu, specjaliści Cisco ostrzegają, że podobne techniki są atrakcyjne również dla innych grup sponsorowanych przez państwa. Ich zdaniem każda organizacja powinna być świadoma skali zagrożenia i wdrożyć procedury, które ograniczą ryzyko podobnych ataków.