MENU

Ρωσικές κυβερνοεπιθέσεις σε κρίσιμες υποδομές – Προειδοποίηση από NSA, FBI και CISA για routers με αδύναμους κωδικούς

Ρouters με αδύναμους κωδικούς και παλιές ευπάθειες βρίσκονται στο στόχαστρο ομάδων που συνδέονται με τη ρωσική FSB

Νέα κοινή προειδοποίηση εξέδωσαν η Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ (NSA), το FBI, η CISA και ακόμη 15 διεθνείς υπηρεσίες κυβερνοασφάλειας, επισημαίνοντας ότι ρωσικές κρατικά υποστηριζόμενες ομάδες χάκερ συνεχίζουν να στοχεύουν κρίσιμες υποδομές παγκοσμίως μέσω κακώς ρυθμισμένων ή ευάλωτων δικτυακών συσκευών.

Σύμφωνα με τη συμβουλευτική ανακοίνωση, οι επιτιθέμενοι αναζητούν κυρίως routers και άλλες συσκευές συνδεδεμένες στο διαδίκτυο που εξακολουθούν να χρησιμοποιούν προεπιλεγμένους ή αδύναμους κωδικούς πρόσβασης, αποκτώντας έτσι πρόσβαση σε ευαίσθητες πληροφορίες των οργανισμών.

Πώς δρουν οι επιτιθέμενοι

Η προειδοποίηση αποδίδει τις επιθέσεις σε χάκερ που συνδέονται με το Center 16 της Ομοσπονδιακής Υπηρεσίας Ασφαλείας της Ρωσίας (FSB).

Οι ομάδες αυτές πραγματοποιούν συνεχείς σαρώσεις στο διαδίκτυο, αναζητώντας δικτυακές συσκευές με ελλιπή προστασία. Όταν αποκτήσουν πρόσβαση, αντιγράφουν τα αρχεία ρυθμίσεων (configuration files) των συσκευών και τα μεταφέρουν σε διακομιστές που ελέγχουν μέσω του Trivial File Transfer Protocol (TFTP).

Αν οι προεπιλεγμένοι ή αδύναμοι κωδικοί δεν αποδώσουν, οι επιτιθέμενοι επιχειρούν να εκμεταλλευτούν γνωστά κενά ασφαλείας, ακόμη και ετών.

Στο στόχαστρο παλαιές ευπάθειες της Cisco

Οι υπηρεσίες ασφαλείας επισημαίνουν δύο γνωστές ευπάθειες σε συσκευές Cisco, οι οποίες εξακολουθούν να αξιοποιούνται από τους κυβερνοεγκληματίες:

  • CVE-2018-0171, ευπάθεια στη λειτουργία Smart Install των Cisco IOS και IOS XE, η οποία μπορεί να επιτρέψει επιθέσεις άρνησης υπηρεσίας (DoS) ή ακόμη και απομακρυσμένη εκτέλεση κώδικα χωρίς πιστοποίηση χρήστη.
  • CVE-2008-412813, ομάδα ευπαθειών CSRF στο Cisco IOS 12.4, που μπορεί να επιτρέψει σε απομακρυσμένους επιτιθέμενους να εκτελέσουν αυθαίρετες εντολές σε συγκεκριμένους routers.

Η αξιοποίηση τόσο παλαιών ευπαθειών υπογραμμίζει ότι πολλές κρίσιμες υποδομές εξακολουθούν να λειτουργούν με μη ενημερωμένο εξοπλισμό ή ανεπαρκείς ρυθμίσεις ασφαλείας.

Οι ομάδες πίσω από τις επιθέσεις

Οι ερευνητές σημειώνουν ότι ορισμένες από τις τεχνικές που χρησιμοποιούνται μοιάζουν με εκείνες της κινεζικής ομάδας Salt Typhoon. Ωστόσο, εκτιμούν ότι οι συγκεκριμένες επιθέσεις προέρχονται κυρίως από τη ρωσική ομάδα που είναι γνωστή με διάφορες ονομασίες, όπως:

  • Berserk Bear
  • Energetic Bear
  • Crouching Yeti
  • Dragonfly
  • Ghost Blizzard
  • Static Tundra

Η κοινή προειδοποίηση συνυπογράφεται από τις NSA, FBI, CISA και ακόμη 15 υπηρεσίες κυβερνοασφάλειας από την Αυστραλία, το Ηνωμένο Βασίλειο, τον Καναδά, τη Νέα Ζηλανδία, την Εσθονία, τη Φινλανδία, τη Γαλλία και την Ιταλία.

Οι αρχές καλούν τους διαχειριστές κρίσιμων υποδομών να αντικαταστήσουν άμεσα τους προεπιλεγμένους κωδικούς πρόσβασης, να εγκαταστήσουν τις τελευταίες ενημερώσεις ασφαλείας και να απομονώσουν από το διαδίκτυο συσκευές που δεν είναι απαραίτητο να είναι δημόσια προσβάσιμες.

Περισσότερες ειδήσεις

«Θωρακιστείτε τώρα»: Η ΕΚΤ εκπέμπει SOS για κυβερνοεπιθέσεις στο ευρωπαϊκό τραπεζικό σύστημα

Κυβερνοανθεκτικότητα: Από ζήτημα πληροφορικής σε… προϋπόθεση για το παγκόσμιο εμπόριο

«Δεν ξέρουμε πια τι είναι αληθινό» – Ο εφιάλτης των deepfakes μόλις ξεκίνησε


Σχετικά Άρθρα