美國國土安全部底下的US-CERT發布技術警報(Technical Alert,TA),由美國國土安全部(DHS)、聯邦調查局(FBI)和英國國家網路安全中心(NCSC)聯手分析的結果顯示,由俄羅斯政府資助的駭客正對路由器、交換器、防火牆以及入侵檢測系統等網路基礎設備發動攻擊,目標主要針對政府、私人機構、網路設備供應商以及ISP。

US-CERT表示,俄國政府的這些行動將嚴重影響美國安全以及經濟,而該技術警報的目的便是對網路設備供應商、ISP、公私部門組織以及家庭辦公室發出警告,以減少惡意活動帶來的損失。

這份技術警報包含了有關俄羅斯政府所資助之駭客,對受害者所採取的策略、技術以及程序細節。聯邦調查局相信,這些駭客正使用老舊受損的路由器,進行中間人攻擊,以支援間諜行動、偷取智慧財產或持續對受害者進行網監控,並進一步對未來的攻擊行動奠定基礎。

研究發現,從2015年來,這些駭客就已經開始對全球的企業級以及家庭辦公室級的路由器與交換器進行惡意活動。現在他們瞄準的對象,包含使用老舊協定以及缺乏安全性的裝置,有漏洞的裝置、違法獲取的認證,甚至是韌體或作業系統漏洞等都是駭客可能攻擊的途徑,這些駭客還能修改或是封鎖路由器的網路流量。

US-CERT提到,駭客根本不需要對這些裝置安裝惡意程式,就能達成一定程度的危害,因為不少裝置本身未通過認證、使用未加密協定,抑或是製造商已經停止補丁支援,這些都會被駭客轉用作為攻擊的利器。

而之所以駭客要針對網路基礎設備攻擊,US-CERT認為,是因為大部組織及客戶都需要走訪這些裝置,控制了路由器等同於控制了交通流量,而且網絡設備的安全防護往往遭到忽略,在上面不會有完整的防護措施。

這波駭客攻擊通常會有六個階段,偵察、武器化、交付、開發、安裝最後指揮和控制。一開始駭客會進行大規模的掃瞄,對這些裝置對外開放的連接埠進行識別,找出易受攻擊的目標,尤其是連接埠161與162的SNMP,還有思科SMI常用連接埠4786,被發現容易受駭客利用,並反過來洩漏配置文件等敏感資訊。

US-CERT特別提到,SMI是思科開發的無用戶認證管理協定,駭客利用智慧安裝開發工具(SIET),並濫用SMI協定來下載網路裝置的配置文件、修改配置,甚至植入惡意程式及修改作業系統,而由於這些網路裝置的可寫入性,將有助於惡意軟體在目標區網的擴展。

US-CERT對所有可能的攻擊目標提供了不同的防禦建議,但對一般大眾而言,US-CERT強調,不要使用未加密的管理協議、不要對網際網路開放網路設備的管理介面、不要使用未加密的協定,最後立即更換預設密碼並使用強密碼政策。

不過媒體BBC為此也做了平衡報導,BBC指出美國其實也在俄國境內進行類似的駭客行為。


Advertisement

更多 iThome相關內容