Az NSA, a CISA, az FBI és az NCSC orosz hackerek globális routertámadásaira figyelmeztet

Az NSA, a CISA, az FBI és az NCSC orosz routertámadásokra figyelmeztet

Az Egyesült Államok, az Egyesült Királyság, Kanada, Ausztrália, Új-Zéland és több európai ország kiberbiztonsági szervezete közös figyelmeztetést adott ki egy hosszú ideje zajló orosz állami kiberműveletről.

A támadók világszerte internet felől elérhető routereket, hálózati eszközöket és egyéb peremhálózati infrastruktúrákat vesznek célba. A kampány elsősorban kritikus infrastruktúrákat, kormányzati szervezeteket, távközlési szolgáltatókat, energetikai vállalatokat, pénzügyi intézményeket, egészségügyi szervezeteket és védelmi ipari szereplőket érinthet.

A közös Cybersecurity Advisory kiadását többek között az alábbi szervezetek vezették:

  • National Security Agency;
  • Cybersecurity and Infrastructure Security Agency;
  • Federal Bureau of Investigation;
  • Department of Defense Cyber Crime Center;
  • brit National Cyber Security Centre.

A dokumentum szerint a művelet mögött az orosz Szövetségi Biztonsági Szolgálat, vagyis az FSB Center 16 egységéhez kapcsolódó kiberoperátorok állnak.

Nem kizárólag zero-day hibákra támaszkodnak

A kampány egyik legfontosabb tanulsága, hogy a támadók nem feltétlenül fejlett és drága zero-day sérülékenységeket használnak.

Sok esetben elegendő számukra:

  • egy elavult firmware;
  • egy támogatásból kivezetett router;
  • egy internet felől elérhető adminisztrációs felület;
  • gyenge vagy alapértelmezett jelszó;
  • régi menedzsmentprotokoll;
  • hibásan konfigurált SNMP;
  • engedélyezve hagyott Cisco Smart Install.

A fenyegetési szereplők automatizált szkenneléssel keresik azokat az eszközöket, amelyek ilyen alapvető biztonsági hiányosságokat tartalmaznak.

Több mint egy évtizede zajló műveletek

A nyugati hírszerző és kiberbiztonsági szervezetek több mint tíz éve követik az FSB Center 16 tevékenységét.

A csoportot a különböző biztonsági vállalatok több néven is azonosítják, például:

  • Berserk Bear;
  • Energetic Bear;
  • Dragonfly;
  • Crouching Yeti;
  • Ghost Blizzard;
  • Static Tundra.

A megnevezések eltérhetnek, de jellemzően egymással átfedő, az orosz hírszerzéshez kapcsolódó tevékenységeket jelölnek.

A csoport elsődleges célja nem a közvetlen pénzügyi haszonszerzés, hanem a hosszú távú hírszerzés.

Miért váltak elsődleges célponttá a routerek?

A routerek és egyéb hálózati eszközök gyakran kevésbé láthatók a vállalati biztonsági csapatok számára, mint a szerverek vagy a felhasználói végpontok.

Míg a munkaállomásokat rendszerint védi:

  • vírusvédelem;
  • endpoint detection and response;
  • központi naplózás;
  • sérülékenységkezelés;
  • eszközmenedzsment;

addig a routerek sokszor éveken keresztül változatlan konfigurációval működnek.

Gyakori problémák:

  • gyári vagy alapértelmezett hitelesítő adatok;
  • gyenge adminisztrátori jelszavak;
  • elavult SNMP-verziók;
  • internet felől elérhető menedzsmentfelületek;
  • régi firmware;
  • nem támogatott hardver;
  • nem megfelelő naplózás;
  • nem ellenőrzött helyi felhasználói fiókok.

Ha egy támadó átveszi az irányítást egy router felett, a hálózati forgalom jelentős részére ráláthat anélkül, hogy az endpointvédelmi rendszerek feltétlenül észlelnék.

SNMP segítségével lopják el a konfigurációkat

A kampány egyik központi eleme a Simple Network Management Protocol, vagyis az SNMP kihasználása.

Az SNMP-t eredetileg routerek, switchek, nyomtatók, tűzfalak, szerverek és egyéb hálózati eszközök távoli felügyeletére tervezték.

A régebbi verziók, különösen az SNMPv1 és SNMPv2, egyszerű community stringeket használnak hitelesítésre.

Ezek gyakorlatilag egyszerű szöveges jelszavakként működnek.

Sok rendszerben még mindig megtalálhatók az alapértelmezett értékek, például:

  • public;
  • private.

A támadók automatizált internetes szkenneléssel keresik az ilyen módon elérhető eszközöket.

A router saját konfigurációját exportáltatják

A közös figyelmeztetés szerint az orosz operátorok speciálisan kialakított SNMP Set Request üzeneteket küldenek a sebezhető hálózati eszközöknek.

Ezek arra utasíthatják a routert, hogy másolja ki saját futó konfigurációját, majd továbbítsa azt egy támadó által irányított szerverre.

Az adatátvitelhez gyakran az alábbi protokollokat használják:

  • TFTP;
  • FTP.

A támadók virtuális magánszervereket vagy korábban kompromittált infrastruktúrát alkalmazhatnak a konfigurációk fogadására.

Mit tartalmazhat egy router konfigurációs fájlja?

Egy router teljes konfigurációja rendkívül értékes hírszerzési forrás.

Tartalmazhatja többek között:

  • adminisztrátori felhasználóneveket;
  • jelszavakat vagy jelszóhasheket;
  • VPN-beállításokat;
  • VPN-hitelesítési adatokat;
  • belső IP-címzési sémákat;
  • hálózati útválasztási információkat;
  • Access Control List beállításokat;
  • tűzfalszabályokat;
  • hitelesítési szervereket;
  • belső menedzsmenthálózatokat;
  • tartalék adminisztrációs hozzáféréseket;
  • kiemelten fontos belső rendszerek címeit.

Egyetlen konfigurációs fájl alapján a támadó részletes térképet kaphat a szervezet belső infrastruktúrájáról.

Ez jelentősen megkönnyítheti a későbbi:

  • oldalirányú mozgást;
  • hitelesítőadat-lopást;
  • privilegizált rendszerek azonosítását;
  • hálózati megfigyelést;
  • hosszú távú perzisztencia kialakítását.

Cisco Smart Install rendszereket is támadnak

A tanácsadó külön kiemeli a Cisco Smart Install, vagyis SMI kockázatait.

A funkció eredetileg új Cisco hálózati eszközök automatikus telepítésére és konfigurálására szolgált.

Ha azonban a szolgáltatás közvetlenül elérhető az internetről, támadási felületté válhat.

A fenyegetési szereplők kihasználhatják konfigurációk lekérésére, módosítására vagy jogosulatlan adminisztratív műveletekre.

A tanácsadó olyan korábban ismert sérülékenységeket is megemlít, mint:

  • CVE-2018-0171;
  • CVE-2008-4128.

Ez is mutatja, hogy akár több mint tízéves hibák is aktív veszélyt jelenthetnek, ha az érintett eszközöket nem frissítik vagy már nem támogatottak.

Kritikus infrastruktúrák vannak veszélyben

A figyelmeztetés szerint az alábbi ágazatok kiemelt célpontok lehetnek:

  • távközlés;
  • energetika;
  • védelmi ipar;
  • pénzügyi szektor;
  • egészségügy;
  • állami és önkormányzati szervezetek;
  • közműszolgáltatók;
  • ipari rendszerek üzemeltetői.

Az önkormányzati és regionális közigazgatási hálózatok különösen vonzó célpontot jelenthetnek, mert alapvető közszolgáltatásokat működtetnek, miközben sok esetben korlátozott kiberbiztonsági erőforrásokkal rendelkeznek.

Hírszerzés előzheti meg a későbbi romboló műveleteket

A kampány elsődleges célja jelenleg információgyűjtés és tartós hozzáférés megszerzése lehet.

Ez azonban nem jelenti azt, hogy a tevékenység veszélytelen.

Az állami hátterű csoportok gyakran hónapokon vagy éveken keresztül térképezik fel a kritikus rendszereket, mielőtt komolyabb támadást hajtanának végre.

A hosszú távon megszerzett hozzáférés később felhasználható:

  • kémkedésre;
  • adatlopásra;
  • kommunikáció megfigyelésére;
  • szolgáltatások megzavarására;
  • szabotázsra;
  • geopolitikai konfliktus idején végrehajtott kiberműveletekre.

A brit hatóságok a 2025 decemberében a lengyel energiahálózat ellen végrehajtott támadási kísérletet is az FSB Center 16 tevékenységéhez kapcsolták.

Az edge infrastruktúra vált stratégiai célponttá

A routerek, tűzfalak, VPN-koncentrátorok és gateway-ek a vállalati hálózat első védelmi vonalát jelentik.

Ezeket összefoglaló néven edge infrastruktúrának nevezik.

Ha egy ilyen eszközt kompromittálnak, a támadó képes lehet:

  • hálózati forgalom megfigyelésére;
  • hitelesítő adatok elfogására;
  • kommunikáció átirányítására;
  • VPN-forgalom elemzésére;
  • belső hálózati struktúra feltérképezésére;
  • távoli hozzáférés fenntartására;
  • további támadások előkészítésére.

A támadás gyakran nem igényel rosszindulatú program telepítését egy munkaállomásra, ezért nehezebben észlelhető a hagyományos EDR-megoldásokkal.

Az SNMPv1 és SNMPv2 használatát meg kell szüntetni

A részt vevő kiberbiztonsági szervezetek egyik legfontosabb ajánlása a régi SNMP-verziók kikapcsolása.

Ahol lehetséges, az SNMPv1 és SNMPv2 helyett SNMPv3 használata javasolt.

Az SNMPv3:

  • erősebb hitelesítést biztosít;
  • képes titkosítani a kommunikációt;
  • csökkenti a community stringekkel kapcsolatos kockázatot;
  • jobb hozzáférés-vezérlést tesz lehetővé.

Ha a régi verziók azonnali kivezetése nem lehetséges, legalább az alábbi intézkedések szükségesek:

  • alapértelmezett community stringek lecserélése;
  • erős, egyedi értékek használata;
  • írási jogosultság letiltása;
  • csak read-only hozzáférés engedélyezése;
  • hozzáférés korlátozása megbízható menedzsmenthálózatokra;
  • internet felőli SNMP-hozzáférés blokkolása.

A Cisco Smart Install szolgáltatást ki kell kapcsolni

A hatóságok azt javasolják, hogy a szervezetek tiltsák le a Cisco Smart Install funkciót minden olyan rendszeren, ahol nincs rá kifejezett üzleti szükség.

A szolgáltatás szükségtelen működtetése jelentősen növeli a támadási felületet.

A már telepített hálózati eszközök normál üzemeltetéséhez a Smart Install funkció rendszerint nem szükséges.

Erős adminisztrátori hitelesítés szükséges

A szervezeteknek felül kell vizsgálniuk minden helyi és távoli adminisztrátori fiókot.

Javasolt:

  • minden alapértelmezett jelszó lecserélése;
  • hosszú, egyedi jelszavak használata;
  • többtényezős hitelesítés alkalmazása, ahol támogatott;
  • ismeretlen helyi fiókok keresése;
  • nem használt adminisztrátori fiókok törlése;
  • hozzáférések rendszeres felülvizsgálata;
  • privilegizált hozzáférések naplózása.

Cisco eszközöknél kerülni kell a gyenge vagy elavult jelszóformátumokat, például:

  • Type 0;
  • Type 4;
  • Type 7.

Ahol támogatott, erősebb megoldás, például Type 8 használata javasolt.

A menedzsmentfelületeket el kell választani az internettől

A routerek és hálózati eszközök adminisztratív interfészei lehetőség szerint csak külön menedzsmenthálózatról legyenek elérhetők.

A hozzáférést Access Control List szabályokkal kell korlátozni.

Javasolt blokkolni az internetről:

  • SNMP;
  • TFTP;
  • FTP;
  • Telnet;
  • Cisco Smart Install;
  • webes adminisztrációs felületek;
  • SSH, ha nincs rá közvetlenül szükség.

A menedzsmenthozzáférést VPN-en, bastion hoston vagy más ellenőrzött biztonsági átjárón keresztül célszerű biztosítani.

Gyanús SNMP Set Requestek monitorozása

A biztonsági csapatoknak figyelniük kell az SNMP Set Request műveleteket, különösen azokat, amelyek konfigurációmásolási funkciókhoz tartozó Object Identifier értékeket céloznak.

Gyanús lehet például:

  • konfiguráció exportálása ismeretlen szerverre;
  • TFTP-forgalom külső IP-cím felé;
  • váratlan FTP-kapcsolat;
  • ismeretlen SNMP-forráscím;
  • adminisztrációs konfiguráció módosítása;
  • új helyi felhasználói fiók létrehozása.

Az ilyen eseményeket potenciális kompromittálódási indikátorként kell kezelni.

A firmware-frissítés nem maradhat el

A hálózati eszközök gyakran hosszabb ideig maradnak üzemben, mint a szerverek vagy munkaállomások.

Ez azt eredményezheti, hogy a router:

  • már nem támogatott;
  • nem kap biztonsági frissítést;
  • elavult operációs rendszert futtat;
  • ismert, nyilvános exploitokkal támadható.

A szervezeteknek rendszeres firmware-frissítési ciklust kell kialakítaniuk.

A már támogatásból kivezetett eszközöket ki kell cserélni, különösen akkor, ha közvetlenül elérhetők az internetről.

Támadási felület felmérése szükséges

A szervezeteknek pontos eszközleltárt kell fenntartaniuk minden hálózati infrastruktúráról.

Fel kell mérni:

  • mely eszközök érhetők el az internetről;
  • mely portok vannak nyitva;
  • milyen firmware-verzió fut;
  • engedélyezve van-e SNMP;
  • működik-e Cisco Smart Install;
  • vannak-e támogatásból kivezetett eszközök;
  • milyen adminisztrátori interfészek érhetők el;
  • milyen helyi fiókok léteznek.

Az attack surface management megoldások segíthetnek a külső kitettség automatikus feltárásában.

Széles körű nemzetközi együttműködés

A tanácsadó mögött rendkívül széles nemzetközi koalíció áll.

Az Egyesült Államok szervezetei mellett a dokumentumot többek között az alábbi országok kiberbiztonsági hatóságai támogatták:

  • Ausztrália;
  • Kanada;
  • Új-Zéland;
  • Egyesült Királyság;
  • Csehország;
  • Dánia;
  • Észtország;
  • Finnország;
  • Franciaország;
  • Olaszország;
  • Lengyelország;
  • Svédország.

Az együttműködés azt mutatja, hogy az államilag támogatott kibertevékenységeket egyre inkább nemzetközi biztonsági fenyegetésként kezelik.

Szankciók is kapcsolódnak a figyelmeztetéshez

A közös tanácsadó megjelenésével egy időben az Egyesült Királyság és az Európai Unió koordinált szankciókat jelentett be több orosz kiberoperátorral és kapcsolódó szervezettel szemben.

A szankciók olyan személyeket és entitásokat érintenek, akiket hosszú ideje zajló európai hírszerzési és kiberoperációkhoz kapcsolnak.

A diplomáciai és pénzügyi intézkedések célja a műveletek költségeinek növelése és az érintett infrastruktúrák működésének korlátozása.

Az alapvető kiberhigiénia továbbra is döntő

A figyelmeztetés egyik legerősebb üzenete, hogy még a fejlett állami hátterű támadók is gyakran egyszerű hibákat használnak ki.

Ilyenek például:

  • alapértelmezett jelszavak;
  • régi protokollok;
  • internetre kitett adminisztrációs portok;
  • nem frissített firmware;
  • támogatásból kivezetett eszközök;
  • hiányos naplózás;
  • gyenge hozzáférés-vezérlés.

A legmodernebb biztonsági technológiák sem képesek kompenzálni az alapvető konfigurációs hibákat.

Mit tegyenek az érintett szervezetek?

A szervezeteknek kiemelten javasolt:

  • leltározni minden internet felől elérhető hálózati eszközt;
  • megszüntetni az SNMPv1 és SNMPv2 használatát;
  • bevezetni az SNMPv3-at;
  • letiltani a Cisco Smart Install funkciót;
  • frissíteni minden router és switch firmware-jét;
  • lecserélni a támogatásból kivezetett eszközöket;
  • lezárni az internet felől elérhető menedzsmentportokat;
  • lecserélni az alapértelmezett hitelesítő adatokat;
  • szigorítani az ACL-szabályokat;
  • ellenőrizni a helyi adminisztrátori fiókokat;
  • monitorozni a gyanús SNMP és TFTP-forgalmat;
  • átvizsgálni a routerkonfigurációkat jogosulatlan módosítások után;
  • elkülöníteni a menedzsmenthálózatot;
  • naplózni és központilag elemezni a hálózati eszközök eseményeit.

Összegzés

Az NSA, a CISA, az FBI, az NCSC és több szövetséges ország kiberbiztonsági hatósága arra figyelmeztet, hogy az orosz FSB Center 16 operátorai világszerte internet felől elérhető routereket és hálózati eszközöket támadnak.

A műveletekhez gyakran nincs szükség kifinomult zero-day sérülékenységekre.

A támadók elavult firmware-t, gyenge SNMP-konfigurációkat, alapértelmezett community stringeket, Cisco Smart Install szolgáltatásokat és régi, ismert hibákat használnak ki.

A routerek kompromittálásával részletes hálózati konfigurációkat, hitelesítő adatokat és belső infrastruktúra-információkat szerezhetnek meg, amelyek hosszú távú hírszerzéshez vagy későbbi támadásokhoz használhatók fel.

A védekezés alapja a régi protokollok kivezetése, a firmware-ek frissítése, az adminisztrációs hozzáférések korlátozása, a menedzsmentfelületek leválasztása az internetről és a hálózati eszközök folyamatos monitorozása.

Az oldal tartalma nem másolható!