Cisco 警告网络基础设施遭受国家支持的黑客攻击

重点提示

• Cisco 表示对国家支持的网络间谍活动表现出“深切关注”，并指出这可能是全球网络基础设施攻击激增的原因。
• 俄罗斯黑客组织 APT28 利用未修补的 Cisco 路由器中的漏洞实施攻击。
• 攻击活动显示出对网络基础设施的持续关注，强调需及时修补已知漏洞以增强网络安全。

Cisco最近发出警告，称国家支持的网络攻击者进行的网络间谍活动可能是导致全球网络基础设施攻击激增的根本原因。与此同时，来自英国国家网络安全中心、美国网络安全和基础设施安全局（CISA）、国家安全局（NSA）及联邦调查局（FBI）的联合公告也详细描述了俄罗斯黑客组织
APT28 如何利用一个已有六年的漏洞进行攻击，而该漏洞存在于未修补的 Cisco 路由器中。

该公告指出，APT28，这一与莫斯科总参谋部主要情报局（GRU）相关的国家行为者，也被称为 Fancy Bear、STRONTIUM、Sednit Gang和 Sofacy，成功利用了 Cisco IOS 和 Cisco IOS XE软件中的简单网络管理协议（SNMP）漏洞（）。

该漏洞最初在 2017 年披露并提供了补丁。Cisco 指出，新的 APT28 攻击活动被称为“JaguarTooth”，这表明了愈加复杂的对手正在对网络基础设施发起攻击，以实现间谍目标或为未来的破坏活动做好准备。

NSA 网络安全部主任 Rob Joyce 强调了这一攻击活动的持续性，自 2021 年以来，该活动一直在进行，并呼吁防御者识别并修复未打补丁的 Cisco路由器版本。

“提醒：俄罗斯网络攻击者仍然非常活跃，你应该采取一切预防措施来抵御他们的技术。” Joyce 在 Twitter
上提到这一活动时写道。“该公告包含了一些可行动的步骤，能够帮助你关闭已知的攻击路径。”

在另外一项，Cisco Talos 的威胁情报与干预主管 Matt Olney表示，他们观察到“Jaguar Tooth”攻击的网络流量操控、流量复制、隐藏配置、路由器恶意软件、基础设施侦察和对网络防御的积极削弱。

对于 Olney 而言，俄罗斯黑客在这个六年的路由器漏洞中获得的收益强调了当组织未能有效实施补丁管理时，所可能造成的严重危害。

“我们担心，意识和补丁更新的不足、依赖于停产设备以及对始终在线连接的需求，使得过多的基础设施设备成为轻易的攻击目标。” Olney
在周二写道。“这些问题的结果从无意中参与犯罪活动，到对国家安全产生真正影响的事件，范围广泛。”

在其威胁公告中，Cisco Talos 进一步指出，网络基础设施“旨在持久使用，而在当今的全天候世界中，发现补丁窗口有时几乎是不可能的”。

“但近期的报告以及我们自己的调查显示，更新网络运行硬件和软件至关重要。这不仅是因为补丁可以消除已知的漏洞，而且升级还会带来之前无法获得的新安全能力和控制。”

在 2021 年，APT28 利用基础设施伪装 SNMP 访问全球的 Cisco 路由器。这包括位于欧洲的一小部分，美国政府机构及大约 250名乌克兰受害者。

SNMP 旨在允许网络管理员远程监控和配置网络设备，但如果配置不当，也可能被滥用以获取敏感的网络信息，并且在存在漏洞情况下，可能进一步渗透网络。

大量软件工具可以使用 SNMP 扫描整个网络，导致不良配置（例如使用默认或易猜测的社区字符串）使网络容易受到攻击。

正是这些脆弱的 SNMP 社区字符串，包括默认的“public”字符串，使得 APT28 可以获得路由器信息。

被攻陷的路由器配置为接受 SNMP v2 请求。SN