USA i Wielka Brytania ostrzegają przed cyberatakami ze strony Rosji
Wspólne działania Stanów Zjednoczonych i Wielkiej Brytanii przyczyniły się do zebrania wielu informacji o kolejnych atakach, które umożliwiają uzyskanie niepowołanego dostępu do wewnętrznych sieci w organizacjach. Na stronach US-CERT opublikowano szczegółowe informacje o takich atakach, które przeprowadzane mają być przez stronę rosyjską. Wykorzystywane są tu podatności typowych sprzętów infrastruktury sieciowej, a więc między innymi routerów i firewalli.
Atak polega na wykorzystaniu podatnego urządzenia w infrastrukturze sieciowej ofiary, które później można łatwo zainfekować i i wykorzystać do kontrolowania ruchu, wydobywania informacji oraz jako podłoże do kolejnych ataków w przyszłości. Mowa więc między innymi o zagrożeniu man-in-the-middle, a wszystko ma być możliwe dzięki opłacaniu takich przedsięwzięć przez stronę rosyjską.
Celem atakujących są przede wszystkim rządowe i prywatne organizacje oraz dostawcy infrastruktury, a co za tym idzie także dostawcy Internetu, którzy są z nią bezpośrednio związani. Dotychczasowe ofiary udało się rozpoznać dzięki działaniom Stanów Zjednoczonych we współpracy z partnerami. Jak wynika z raportu, działacze z Rosji zrobili niejednokrotnie użytek z licznych słabości protokołów oraz portów wykorzystywanych przez urządzenia sieciowe.
Użyte techniki pozwalają między innymi uzyskiwać informacje o podatnych urządzeniach, pobierać ich konfigurację, tworzyć mapę wewnętrznej sieci w organizacji, modyfikować oprogramowanie i systemy operacyjne, a także kopiować i przekierowywać ruch sieciowy w taki sposób, by przechodził przez kontrolowaną przez Rosję infrastrukturę. Ataki nie bazują na podatnościach typu 0-day. Wykorzystywane są inne słabości sprzętu, w tym nieszyfrowane protokoły, niewystarczające zabezpieczenia oraz brak wsparcia przez producentów, w przypadku sprzętów starszej daty.
Przeprowadzane dotychczas przez stronę rosyjską ataki odbywały się według wspólnego scenariusza. Wpierw konieczne było ustalenie najskuteczniejszej metody ataku, później dostarczenie do urządzeń właściwego oprogramowania, a na końcu jego uruchomienie i wykorzystanie. Komunikacja odbywała się zarówno przez protokoły Telnet i HTTP, jak i SNMP oraz SMI. Szczegóły opisane zostały w raporcie.
Upublicznione dane mają pomóc uchronić się przed podobnymi atakami w przyszłości. Urządzenia infrastruktury sieciowej, szczególnie w małych firmach i domach, zawsze należy uznawać za stosunkowo łatwy cel dla atakującego. Nie wszystkie sprzęty są bowiem wystarczająco długo aktualizowane przez producentów, by były nieustannie odporne na kolejne zagrożenia w Sieci.
