В конце прошлой недели неизвестные хакеры атаковали коммутаторы продукции компании Cisco, что привело к массовым сбоям в работе интернета. В результате были недоступны многие сайты, в том числе российских СМИ. Иранское министерство связи и информационных технологий сообщило, что также стало жертвой глобальной кибератаки.
Эксперты сообщают, что, судя по всему, для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый свитч, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.
Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает, что массовая атака с использованием уязвимости в устройствах Cisco, начавшаяся вечером 6 апреля 2018 г., была нацелена на значимые объекты критической информационной инфраструктуры (КИИ) РФ.
Сравнив атаки, совершаемые на объекты КИИ и прочие российские компании, аналитики центра мониторинга и реагирования на кибератаки Solar JSOC обнаружили, что интенсивность атаки возрастала в 20-30 раз, если была направлена на критическую информационную инфраструктуру. Пул адресов, с которыъхх производились атаки на значимые объекты КИИ, также существенно шире, чем тот, с которого атаковали остальные компании.
Для широковещательных атак, таких как WannaCry и Bad Rabbit, характерна массовость и ненаправленность действий злоумышленников. Они атакуют веерно, и во всех компаниях, оказавшихся уязвимыми, атака развивается по одному и тому же сценарию. В данном случае наблюдается существенное отличие: киберпреступники явно прикладывали больше усилий именно для поражения значимых объектов КИИ, и это дает основание говорить о нацеленности атаки.
Впрочем, иранское министерство связи и информационных технологий сообщило, что также стало жертвой глобальной кибератаки. Атакующие показали флаг США на нескольких экранах, добавив предупреждение «не вмешивайтесь в наши выборы», но атака не была сосредоточена на Иране — лишь 3500 свитчей стали жертвой эксплойта в этой стране. Более 55 000 пострадавших устройств были в США, как сообщил министр информационных техноллогий Мохаммад Джавад Азари Джахроми, и еще 14 000 — в Китае. Остальные были расположены в Европе и Индии.
Сообщение Ирана поступило сразу же после того, как исследовательская группа Cisco Talos предупредила, что по всему миру было «несколько инцидентов» с участием «определенных продвинутых актеров», нацеленных на коммутаторы, использующие Smart Install.
Антон Фишман, директор проектного направления компании Group-IB, которая занимается расследованием и предотвращением киберпреступлений, в комментарии изданию «Вести.Экономика» отметил, что можно говорить как минимум о двух серьезных уязвимостях на оборудовании крупнейшего производителя сетевого и телекоммуникационного оборудования.
Первая уязвимость позволяла выполнить любой произвольный код и изменить настройки на большом списке моделей основных коммутаторов Cisco, используемых повсеместно в крупных компаниях, сетях и дата-центрах.
Вторая уязвимость позволяла получить также полный доступ на популярные модели оборудования Cisco, в случае если используется 16-ая версия операционной системы Cisco IOS XE.
Атакующие использовали эти уязвимости для вывода из строя оборудования Cisco, заменяя прошивку и конфигурационный файл оборудования.
Мнение эксперта
Эти уязвимости достаточно серьезны и, на мой взгляд, опасность еще не миновала. Мы не исключаем продолжения «первой волны» и, если оно произойдет, скорее всего оно может быть уже более масштабным и многоуровневым. В этом случае выводом оборудования из строя злоумышленники не ограничатся, скорее всего их целью будет проникновение в сеть атакуемого объекта.Для того, чтобы этого не произошло вендор выпустил соответствующее обновление: если этого еще не сделано, необходимо установить данный патч немедленно.
Позиция «всё прошло, меня не затронуло» очень опасна. Практика показывает, что пренебрежение стандартными требованиями безопасности (например, установкой критичных обновлений), приводит к тому, что злоумышленники пробуют использовать старые уязвимости. Яркий пример: недавно компания Boeing стала жертвой модификации Wannacry, которая потрясла весь мир в прошлом году. Казалось бы, все должны были выучить этот урок, но, как выяснилось, и среди крупнейших компаний нашлись исключения.
Специалист Group-IB отмечает, что на данный момент выявить атрибуцию сложно, поскольку атака была не многостадийная, а достаточно простая и одноуровневая. «Она затронула ряд критичных объектов в России и Иране, тем не менее уровень ее организации говорит о том, что она врядли была спланирована заранее и производилась с целью долгосрочного вывода из строя каких-либо объектов либо получения доступа к сетям критической инфраструктуры для дальнейшей серьезной эксплуатации. Характер атаки можно охарактеризовать, как веерный, не целевой. Она остановилась на выводе из строя сетевого оборудования без дальнейшего проникновения в сеть, что могло бы привести к более серьезным последствиям», - заявил Антон Фишман.
На вопрос о том, насколько вероятно, что цель атакующих - российская инфраструктура, в Group-IB отметили, что такая теория может быть верна, однако целью недавней атаки было не нанести серьезный ущерб, а скорее временно приостановить работу оборудования части компаний. Причем затронуто было оборудование нескольких стран. Больше похоже на «пробу пера», либо попытку создать резонанс в СМИ, считает эксперт Group-IB.
