EUA e Reino Unido alertam sobre hackers governamentais usando malware personalizado em roteadores Cisco
19 de Abril de 2023

Os Estados Unidos, Reino Unido e a Cisco estão alertando sobre os hackers patrocinados pelo estado russo APT28 que estão implantando um malware personalizado chamado 'Jaguar Tooth' em roteadores Cisco IOS, permitindo acesso não autenticado ao dispositivo.

A APT28, também conhecida como Fancy Bear, STRONTIUM, Sednit e Sofacy, é um grupo de hackers patrocinado pelo estado ligado à Diretoria Principal de Inteligência do Estado-Maior General da Rússia (GRU).

Este grupo de hackers foi atribuído a uma ampla gama de ataques aos interesses europeus e americanos e é conhecido por abusar de exploits zero-day para conduzir espionagem cibernética.

Um relatório conjunto divulgado hoje pelo Centro Nacional de Segurança Cibernética do Reino Unido (NCSC), Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), a NSA e o FBI detalha como os hackers APT28 têm explorado uma antiga falha SNMP em roteadores Cisco IOS para implantar um malware personalizado chamado 'Jaguar Tooth'.

O Jaguar Tooth é um malware injetado diretamente na memória dos roteadores Cisco que executam versões mais antigas do firmware.

Uma vez instalado, o malware exfiltra informações do roteador e fornece acesso de backdoor não autenticado ao dispositivo.

"O Jaguar Tooth é um malware não persistente que visa roteadores Cisco IOS que executam o firmware: C5350-ISM, Versão 12.3(6)", adverte o aviso do NCSC.

"Ele inclui funcionalidade para coletar informações do dispositivo, que ele exfiltra por TFTP, e permite acesso de backdoor não autenticado.

Foi observado sendo implantado e executado por meio da exploração da vulnerabilidade SNMP corrigida CVE-2017-6742 ." Para instalar o malware, os atores de ameaças escaneiam roteadores Cisco públicos usando strings de comunidade SNMP fracas, como a string 'public' comumente usada.

As strings de comunidade SNMP são como credenciais que permitem que qualquer pessoa que conheça a string configurada faça consultas de dados SNMP em um dispositivo.

Se uma string de comunidade SNMP válida for descoberta, os atores de ameaças exploram a vulnerabilidade SNMP CVE-2017-6742 , corrigida em junho de 2017.

Essa vulnerabilidade é uma falha de execução remota de código não autenticada com código de exploração disponível publicamente.

Uma vez que os atores de ameaças acessam o roteador Cisco, eles corrigem sua memória para instalar o malware personalizado e não persistente do Jaguar Tooth.

"Isso concede acesso às contas locais existentes sem verificar a senha fornecida, ao se conectar via Telnet ou sessão física", explica o relatório de análise de malware do NCSC.

Além disso, o malware cria um novo processo chamado 'Service Policy Lock' que coleta a saída dos seguintes comandos da Interface de Linha de Comando (CLI) e a exfiltra usando TFTP: Todos os administradores da Cisco devem atualizar seus roteadores para o firmware mais recente para mitigar esses ataques.

A Cisco também recomenda a troca de SNMP para NETCONF/RESTCONF em roteadores públicos para gerenciamento remoto, pois oferece mais segurança e funcionalidade robustas.

Se o SNMP for necessário, os administradores devem configurar listas de permitidos e negados para restringir quem pode acessar a interface SNMP em roteadores publicamente expostos, e a string da comunidade deve ser alterada para uma string forte e aleatória.

A CISA também recomenda a desativação do SNMPv2 ou Telnet em roteadores Cisco, pois esses protocolos podem permitir que as credenciais sejam roubadas do tráfego não criptografado.

Finalmente, se um dispositivo for suspeito de ter sido comprometido, a CISA recomenda o uso do conselho da Cisco para verificar a integridade da imagem IOS, revogar todas as chaves associadas ao dispositivo e não reutilizar chaves antigas e substituir imagens por aquelas diretamente da Cisco.

O aviso de hoje destaca uma tendência crescente entre os atores de ameaças patrocinados pelo estado de criar malware personalizado para dispositivos de rede para conduzir espionagem cibernética e vigilância.

Em março, a Fortinet e a Mandiant divulgaram que hackers chineses estavam atacando dispositivos vulneráveis da Fortinet com malware personalizado em uma série de ataques contra entidades governamentais.

Também em março, a Mandiant relatou uma campanha suspeita de hackers chineses que instalaram malware personalizado em dispositivos SonicWall expostos.

Como os dispositivos de rede de borda não suportam soluções de Detecção e Resposta de Endpoint (EDR), eles estão se tornando um alvo popular para atores de ameaças.

Além disso, como eles ficam na borda com quase todo o tráfego da rede corporativa passando por eles, são alvos atraentes para vigiar o tráfego da rede e coletar credenciais para acesso adicional a uma rede.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...