CISA’nın (ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı) yakın tarihli bir raporu, APT 28 grubunun, CVE-2017-6742 kullanarak bakımı yetersiz Cisco yönlendiricilerinden sorumlu olduğunu ortaya koydu.
CVE-2017-6742 Saldırısı: Cisco’da RCE ile Keşif
SNMP (Basit Ağ Yönetimi Protokolü), ağ yöneticileri tarafından cihazları uzaktan izlemek ve yapılandırmak için kullanılan bir ağ protokolüdür.
Bir saldırganın bakış açısından, bu protokol hassas bilgileri çıkarabilir. Bir cihazdaki protokol savunmasızsa, ağa sızmak için kullanılabilir.
Ancak CVE-2017-6742, Cisco yönlendiricilerinin SNMP protokolünde bir uzaktan kod yürütme hatasıdır.
Haziran 2017 itibarıyla Cisco, güvenilir ana bilgisayarlara erişim sınırlaması veya SNMP yönetim bilgilerini devre dışı bırakma gibi geçici çözümler hakkında bilgi içeren bir danışma belgesiyle birlikte yamalar yayınladı.
CISA ile birlikte NCSC (Birleşik Krallık Ulusal Siber Güvenlik Merkezi), NSA (ABD Ulusal Güvenlik Teşkilatı) ve Federal Soruşturma Bürosu (FBI), APT 28’in Genelkurmay Ana İstihbarat (GRU) 85. Özel Servis tarafından işletildiğini iddia ediyor. Merkez (GTsSS) Askeri İstihbarat Birimi 26155.
CISA’nın raporuna göre APT28, erişim elde etmek ve kötü amaçlı yazılım dağıtmak için ticari kod havuzları ve istismar sonrası çerçeveler kullanıyordu.
Raporda, “2021 itibariyle, APT28’in piyasada bulunan kod havuzları ve Empire gibi istismar sonrası çerçeveler kullanıldığı gözlemlendi. Bu, Empire’ın Python sürümlerine ek olarak Powershell Empire’ın kullanımını da içeriyordu.”
Raporda ayrıca APT28 tehdit aktörünün bu CVE-2017-6742’yi SNMP’den yararlanmak ve TFTP (Önemsiz Dosya Aktarım Protokolü) aracılığıyla bilgi ayıklamak için kullandıkları kötü amaçlı yazılımı dağıtmak için kullandığı belirtildi.
Kötü amaçlı yazılım, bir arka kapı aracılığıyla kimliği doğrulanmamış erişimi etkinleştirmek için de kullanıldı. Bu grup tarafından kullanılan kötü amaçlı yazılım, Jaguar Tooth Malware’dir.
APT 28, CISA tarafından belirtildiği gibi, oldukça yetenekli bir tehdit aktörü olarak biliniyor. Grubun Fancy Bear, STRONTIUM, Pawn Storm, the Sednit Gang ve Sofacy gibi isimleri vardı).
APT28 Faaliyetlerinin Tarihçesi
- APT28, 2015 yılında Alman parlamentosuna yönelik bir siber saldırıdan sorumluydu ve bunun sonucunda veri hırsızlığı ve Alman Parlamento Üyeleri ile rektör yardımcısına ait e-posta hesaplarının bozulması sağlandı.
- APT28 ayrıca, GRU’nun Kimyasal Silahlardan bağımsız analizini çökertmek için 2018’de OPCW’ye (Kimyasal Silahların Yasaklanması Örgütü) saldırmaya çalıştı.
Uzlaşma Göstergeleri
Jaguar Tooth kötü amaçlı yazılımının kötü amaçlı yazılım analizi sayfasında bulunabilen, Cisco yönlendiricilerine yapılan bu saldırı için birden fazla Tehlike Göstergesi vardır.
Taktikler, Teknikler ve Prosedürler:
| taktik | İD | teknik | prosedür |
| İlk Erişim | T1190 | Kurban cihazlarında keşif yapmak için erişim sağlandı. Bunun nasıl başarıldığına ilişkin daha fazla ayrıntı, Jaguar Tooth MAR’ın MITRE ATT&CK bölümünde mevcuttur. | APT28, CVE-2017-6742’de (Cisco Hata Kimliği: CSCve54313) özetlendiği gibi SNMP’deki varsayılan/iyi bilinen topluluk dizelerinden yararlandı. |
| İlk Erişim | T1078.001 | Geçerli Hesaplar: Varsayılan Hesaplar. | Aktörler, “genel” gibi varsayılan topluluk dizelerini kullanarak kurban yönlendiricilerine erişti. |
| Keşif | T1590 | Kurban Ağı Bilgilerini Toplayın | Kurban cihazlarında keşif yapmak için erişim sağlandı. Bunun nasıl başarıldığına dair daha fazla ayrıntı Jaguar Tooth MAR’ın MITRE ATT&CK bölümünde mevcuttur. |