APT28, un groupe de piratage parrainé par l'État et exploité par les renseignements militaires russes, exploite une vulnérabilité vieille de six ans dans les routeurs Cisco pour déployer des logiciels malveillants et effectuer une surveillance, selon les gouvernements américain et britannique.

Dans un conseil conjoint Publié mardi, l'agence américaine de cybersécurité CISA, le FBI, la NSA et le National Cyber ​​Security Center du Royaume-Uni détaillent comment les pirates informatiques soutenus par la Russie ont exploité les vulnérabilités des routeurs Cisco tout au long de l'année 2021 dans le but de cibler les organisations européennes et les institutions gouvernementales américaines. L’avis indique que les pirates ont également piraté « environ 250 victimes ukrainiennes », que les agences n’ont pas nommées.

APT28, également connu sous le nom de Fancy Bear, est connu pour mener une série de cyberattaques, d'espionnage et d'opérations de piratage et de fuite d'informations pour le compte du gouvernement russe.

Selon l'avis commun, les pirates ont exploité une vulnérabilité exploitable à distance corrigé par Cisco en 2017 pour déployer un malware personnalisé baptisé « Jaguar Tooth », conçu pour infecter les routeurs non corrigés.

Pour installer le logiciel malveillant, les acteurs malveillants recherchent les routeurs Cisco connectés à Internet à l'aide d'une chaîne de communauté SNMP par défaut ou facile à deviner.

SNMP, ou Simple Network Management Protocol, permet aux administrateurs réseau d'accéder et de configurer à distance les routeurs à la place d'un nom d'utilisateur ou d'un mot de passe, mais peut également être utilisé à mauvais escient pour obtenir des informations réseau sensibles.

Une fois installé, le malware exfiltre les informations du routeur et fournit un accès furtif à l'appareil, ont indiqué les agences.

Matt Olney, directeur du renseignement sur les menaces chez Cisco Talos, a déclaré dans un article de blog cette campagne est un exemple d’« une tendance beaucoup plus large d’adversaires sophistiqués ciblant les infrastructures de réseau pour faire avancer leurs objectifs d’espionnage ou se prépositionner pour de futures activités destructrices ».

« Cisco est profondément préoccupé par l'augmentation du taux d'attaques très sophistiquées contre l'infrastructure réseau – que nous avons observées et corroborées par de nombreux rapports publiés par diverses organisations de renseignement – ​​indiquant que des acteurs parrainés par l'État ciblent les routeurs et les pare-feu à l'échelle mondiale. » dit Olney.

Olney a ajouté qu'outre la Russie, la Chine a également été vue en train d'attaquer des équipements de réseau lors de plusieurs campagnes.

Plus tôt cette année, Mandiant signalé que des attaquants soutenus par l'État chinois ont exploité une vulnérabilité Zero Day dans les appareils Fortinet pour mener une série d'attaques contre des organisations gouvernementales.