FBI: российские хакеры взламывают Cisco через 7-летнюю «дыру»

ФБР выпустило предостережение о текущих кибератаках, осуществляемых хакерами, ассоциируемыми с ФСБ, на ключевые объекты инфраструктуры. Злоумышленники используют давнюю, но все еще не устраненную уязвимость в сетевом оборудовании Cisco.

Согласно информации, предоставленной ФБР, группа хакеров, известная как Berserk Bear (также фигурирующая под именами Blue Kraken, Dragonfly и Koala Team) и связанная с Центром 16 ФСБ, эксплуатирует уязвимость CVE-2018-0171 в функционале Smart Install. Данная брешь позволяет удаленно перезагружать уязвимое оборудование или даже выполнять произвольный код на устройствах, которые не были своевременно обновлены.

ФБР подчеркивает, что в течение последнего года хакеры собирали данные о конфигурациях тысяч сетевых устройств, принадлежащих американским предприятиям критической инфраструктуры. На некоторых из этих устройств злоумышленники изменяли параметры, создавая для себя скрытые точки входа. В дальнейшем киберпреступники осуществляли разведку в сетях пострадавших организаций, проявляя повышенный интерес к протоколам и сервисам, имеющим отношение к промышленным системам управления.

В Cisco подтвердили продолжение атак с использованием CVE-2018-0171 и настоятельно рекомендовали администраторам немедленно установить необходимые исправления. По данным Cisco Talos, в данной кампании активно применяются как собственные инструменты для длительного присутствия на устройствах, так и вредоносное ПО SYNful Knock, известное с 2015 года. Эксперты предупреждают: до тех пор, пока Smart Install остается активированным на необновленных устройствах, этой уязвимостью будут пользоваться не только российские хакеры, но и другие прогосударственные группы.