حذرت الولايات المتحدة والمملكة المتحدة وسيسكو، من قراصنة إلكترونيين مدعومين من الحكومة الروسية، يهاجمون أجهزة توجيه Cisco IOS، مما يمنحهم وصولا غير المصرح به إلى الجهاز.
ووفقا لما ذكره موقع "bleepingcomputer"، فأن قراصنة APT28 الروس، والمعروفة أيضا باسم Fancy Bear و STRONTIUM و Sednit و Sofacy، هي مجموعة قرصنة ترعاها الدولة مرتبطة بمديرية المخابرات الرئيسية للأركان العامة الروسية (GRU)، هي المسؤولة عن هذه الهجمات.
وينسب إلى مجموعة القرصنة الروسية هذه إلى مجموعة واسعة من الهجمات على المصالح الأوروبية والأمريكية، ومن المعروف أنها تسيء استغلال ثغرات يوم الصفر لإجراء تجسس إلكتروني.
برامج ضارة مخصصة لجهاز التوجيه Cisco IOS
ويوضح تقرير مشترك صدر اليوم عن المركز الوطني للأمن السيبراني بالمملكة المتحدة (NCSC)، ووكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA)، ووكالة الأمن القومي الأمريكية NSA))، ومكتب التحقيقات الفيدرالي (FBI) كيف استغل قراصنة APT28 عيبا قديما في بروتوكول إدارة الشبكة البسيط SNMP على أجهزة توجيه شركة سيسكو Cisco لنشر برنامج ضار مخصص يسمى "Jaguar Tooth".
وبحسب ما ذكره الموقع التقني، فأن Jaguar Tooth هو عبارة عن برنامج ضار يتم حقنه مباشرة في ذاكرة أجهزة توجيه سيسكو Cisco التي تعمل بإصدارات أقدم من البرامج الثابتة، وبمجرد تثبيته تقوم البرامج الضارة بسحب المعلومات من جهاز التوجيه وتوفر وصولا غير مصرح به من من بابا خلفيا إلى الجهاز.
ولتثبيت البرنامج الضار، يقوم المهاجمون بالبحث عن أجهزة توجيه سيسكو Cisco العامة باستخدام سلاسل مجتمع من بروتوكول إدارة الشبكة البسيط SNMP الضعيفة، مثل السلسلة العامة الشائعة الاستخدام، وهي سلاسل مجتمع SNMP مثل بيانات الاعتماد التي تسمح لأي شخص يعرف السلسلة المكونة للاستعلام عن بيانات SNMP على الجهاز.
وبمجرد وصول جهات التهديد إلى جهاز توجيه سيسكو Cisco، يقومون بتصحيح ذاكرته لتثبيت برنامج Jaguar Tooth الضار المخصص وغير الدائم، مما يمنحهم وصولا إلى حسابات الضحية على الإنترنت دون الحاجة إلى التحقق من كلمة المرور الخاصة بها.