Federal Soruşturma Bürosu (FBI), Rusya’nın Federal Güvenlik Servisi’ne (FSB) bağlı bilgisayar korsanlarının Cisco cihazlarında 7 yaşındaki bir kırılganlıktan yararlanan saldırılarda kritik altyapı organizasyonlarını hedeflediği konusunda uyardı.
FBI’ın kamu hizmeti duyurusu, FSB’nin Merkez 16 birimine bağlı olan ve Berserk Bear (Bluching Yeti, Dragonfly ve Koala ekibi olarak da bilinir) olarak izlenen devlet destekli hack grubunun CVE-2018-0171’den yararlandığını kullanarak CVE-2018-0171’den yararlandığını hedeflediğini belirtmektedir.
Cisco IOS ve Cisco IOS XE yazılımının akıllı kurulum özelliğinde kritik bir güvenlik açığı olan CVE-2018-0171’in başarılı bir şekilde kullanılması, kimlik doğrulanmamış tehdit aktörlerinin, potansiyel olarak inkar (DOS) koşulunu reddetme, yürütme talebinde bulunan bir tetikleme ile sonuçlanmasına izin verebilir.
FBI, “Geçen yıl, FBI, kritik altyapı sektörlerinde ABD’li kuruluşlarla ilişkili binlerce ağ cihazı için yapılandırma dosyaları toplayan aktörleri tespit etti. Bazı savunmasız cihazlarda, aktörler bu cihazlara yetkisiz erişimi sağlamak için yapılandırma dosyalarını değiştirdi.” Dedi.
“Aktörler, kurban ağlarında keşif yapmak için yetkisiz erişimi kullandılar, bu da endüstriyel kontrol sistemleriyle yaygın olarak ilişkili protokollere ve uygulamalara olan ilgilerini ortaya çıkardılar.”
Aynı hack grubu daha önce son on yılda ABD Devleti, Yerel, Bölgesel ve Kabile (SLTT) hükümet kuruluşlarının ve havacılık kuruluşlarının ağlarını hedeflemişti.
Yöneticiler mümkün olan en kısa sürede yamaya çağırdı
Kasım 2021’de CVE-2018-0171 kusurunu hedefleyen saldırıları ilk kez tespit eden Cisco, Çarşamba günü danışmanlığını güncelledi ve yöneticileri cihazlarını mümkün olan en kısa sürede devam eden saldırılara karşı güvence altına almaya çağırdı.
Şirketin siber güvenlik bölümü olan Cisco Talos, Statik Tundra olarak izlediği Rus tehdit grubunun, Kuzey Amerika, Asya, Afrika ve Avrupa’daki telekomünikasyon, yüksek öğrenim ve üretim organizasyonlarına ait olmayan cihazlardan ödün vermek için CVE-2018-0171’i agresif bir şekilde sömürdüğünü söyledi.
Saldırganlar ayrıca, tehlikeye atılan cihazlarda kalıcılık kazanmalarını ve yıllarca algılamadan kaçınmalarını ve ilk olarak 2015 yılında FireEye tarafından tespit edilen sinik vuruşlu ürün yazılımı implantı kullanılarak gözlemlendi.
Cisco Talos, “Tehdit Rusya’nın operasyonlarının ötesine uzanıyor-devlet destekli diğer aktörler muhtemelen benzer ağ cihazı uzlaşma kampanyaları yürütüyor, bu da tüm kuruluşlar için kapsamlı yama ve güvenlik sertleşmesini kritik hale getiriyor.”
“Tehdit aktörleri, açılmamış ve akıllı kurulumun etkinleştirilmesini sağlayan cihazları kötüye kullanmaya devam edecek.”
Ortamların% 46’sı şifreleri çatladı, geçen yıl neredeyse% 25’ten iki katına çıktı.
Önleme, algılama ve veri açığa çıkma eğilimleri hakkında daha fazla bulgua kapsamlı bir bakış için Picus Blue Report 2025’i şimdi alın.