美国国土安全部底下的US-CERT发布技术警报(Technical△Alert,TA),由美国国土安全部(DHS)、联邦调查局(FBI)和英国国家网络安全中心(NCSC)联手分析的结果显示,由俄罗斯政府资助的骇客正对路由器、交换器、防火墙以及入侵检测系统等网络基础设备发动攻击,目标主要针对政府、私人机构、网络设备供应商以及ISP。
US-CERT表示,俄国政府的这些行动将严重影响美国安全以及经济,而该技术警报的目的便是对网络设备供应商、ISP、公私部门组织以及家庭办公室发出警告,以减少恶意活动带来的损失。
这份技术警报包含了有关俄罗斯政府所资助之骇客,对受害者所采取的策略、技术以及程序细节。联邦调查局相信,这些骇客正使用老旧受损的路由器,进行中间人攻击,以支援间谍行动、偷取智慧财产或持续对受害者进行网监控,并进一步对未来的攻击行动奠定基础。
研究发现,从2015年来,这些骇客就已经开始对全球的企业级以及家庭办公室级的路由器与交换器进行恶意活动。现在他们瞄准的对象,包含使用老旧协议以及缺乏安全性的装置,有漏洞的装置、违法获取的认证,甚至是韧体或作业系统漏洞等都是骇客可能攻击的途径,这些骇客还能修改或是拉黑路由器的网络流量。
US-CERT提到,骇客根本不需要对这些装置安装恶意程式,就能达成一定程度的危害,因为不少装置本身未通过认证、使用未加密协议,抑或是制造商已经停止补丁支援,这些都会被骇客转用作为攻击的利器。
而之所以骇客要针对网络基础设备攻击,US-CERT认为,是因为大部组织及客户都需要走访这些装置,控制了路由器等同于控制了交通流量,而且网络设备的安全防护往往遭到忽略,在上面不会有完整的防护措施。
这波骇客攻击通常会有六个阶段,侦察、武器化、交付、开发、安装最后指挥和控制。一开始骇客会进行大规模的扫瞄,对这些装置对外开放的连接埠进行识别,找出易受攻击的目标,尤其是连接埠161与162的SNMP,还有思科SMI常用连接埠4786,被发现容易受骇客利用,并反过来泄漏配置文件等敏感资讯。
US-CERT特别提到,SMI是思科开发的无用户认证管理协议,骇客利用智慧安装开发工具(SIET),并滥用SMI协议来下载网络装置的配置文件、修改配置,甚至植入恶意程式及修改作业系统,而由于这些网络装置的可写入性,将有助于恶意软件在目标区网的扩展。
US-CERT对所有可能的攻击目标提供了不同的防御建议,但对一般大众而言,US-CERT强调,不要使用未加密的管理协议、不要对网际网络开放网络设备的管理介面、不要使用未加密的协议,最后立即更换预设密码并使用强密码政策。
不过媒体BBC为此也做了平衡报道,BBC指出美国其实也在俄国境内进行类似的骇客行为。
I 相关 / Other
卡巴斯基发现新Android木马,通过入侵无线路由器绑架DNS散布攻击
示意图,与新闻事件无关。 卡巴斯基实验室(Kaspersky△Labs)本周揭露一新的Android木马程式Roaming△Mantis,骇客先入侵了Wi-Fi路由器并窜改其DNS设定,引导Android用户连至恶意网站再下载Roaming△Mantis,目前
俄罗斯总统普京强烈谴责美英法三国,空袭叙利亚,批评是制造人道主义灾难,纵容恐怖主义,强调俄军会协助叙利亚政府应对。他指,西方国家在未证实叙利亚发生化武袭击事件前,对叙利亚进行打击,是没有得到联合国安理
路由器渐成为APT攻击的最爱,防毒公司警告,威胁仅次于CPU漏洞
图片来源: Samver△Saraha 卡巴斯基指出,近年来路由器成为进阶持续性渗透攻击(APT)愈来愈常利用的攻击管道。卡巴斯基(Kaspersky△Lab)全球研究与分析团队(GReAT)总监Costin△Raiu指出,以路由器为目的的网络间
图片来源: Bastille 安全人员发现老牌警报广播系统ATI△Systems存在漏洞,可让骇客入侵释放假警报。这项漏洞是由安全公司Bastille弱点研究人员Balint△Seeber发现,并命名为SirenJack。研究人员发现用以启动ATI△Sys
骇客滥用Cisco Smart Install协议,伊朗3500台交换器遭骇
示意图,与新闻事件无关。 骇客于上周针对思科的Smart△Install功能发动攻击,目前主要传出灾情的是伊朗的ISP业者与资料中心,骇客在执行Smart△Install的交换器配置档中写下“别来搅和我们的选举”(Do△not△mes