美英揭露駭客組織APT28攻擊思科路由器手法

英國國家網路安全中心（NCSC）、美國國安局（NSA）、美國網路安全暨基礎設施安全局（CISA），以及美國聯邦調查局（FBI）本周共同揭露了駭客組織APT28於2021年針對思科路由器的攻擊行動。

上述國家安全機構幾乎已確認APT28隸屬於俄羅斯情報局（GRU），該駭客組織曾在2015年攻擊德國議會，在2018年企圖攻擊禁止化學武器組織（OPCW），而在2021年時，APT28則利用商用的程式碼儲存庫及諸如Empire等後脅迫框架，並於思科路由器上部署Jaguar Tooth惡意程式。

根據調查，APT28鎖定了思科於2017年修補的CVE-2017-6742漏洞展開攻擊，該漏洞存在於簡單網路管理協定（Simple Network Management Protocol，SNMP）上，這是Cisco IOS及IOS XE軟體的子系統，允許網路管理員自遠端監控與配置網路裝置，該漏洞可讓駭客自遠端執行任意程式，成功的攻擊還能滲透路由器所在的網路。

NCSC指出，APT28在2021年時利用基礎設施來假冒SNMP，以存取部署於全球的思科路由器，有少數的路由器位於歐洲及美國的政府組織中，還有大約250臺受駭路由器位於烏克蘭。

由於有不少工具都能掃描全球網路上採用SNMP的裝置，因此倘若這些裝置依然使用預設或容易猜測的社群字串（SNMP community strings），那麼便很容易遭到入侵，方便APT28取得路由器資訊，受駭的路由器都接受SNMP v2請求，此一版本的SNMP並不支援加密，因此所有送出的資料，包括社群字串在內，也都沒有加密。

此外，調查顯示APT28在部分受害裝置上部署了Jaguar Tooth惡意程式，此一惡意程式可蒐集更多的裝置資訊，還啟用了後門存取機制。

思科也在同一天發布了聲明，指出該公司不斷鼓勵使用者要限制SNMP或任何管理介面的存取能力，要避免裝置管理介面或服務遭到攻擊的最佳作法，就是僅允許可靠的管理員與IP位址存取，也提醒雖然SNMP的簡單易用讓它依然受到許多舊時代網路裝置的青睞，但NETCONF與RESTCONF協定的安全能力才更適合現代的網路管理。