Est-ce que les failles dans les routeurs Cisco facilitent les cyberattaques russes? Les gouvernements américain et britannique affirment que le groupe de piratage APT28, soutenu par l’armée russe, exploite une vulnérabilité vieille de six ans dans les routeurs Cisco pour déployer des malwares et mener des opérations de surveillance. Comment procèdent ces hackers?
Selon un avis conjoint publié mardi, les hackers russes ont exploité les vulnérabilités des routeurs Cisco tout au long de l’année 2021, ciblant des organisations européennes et des institutions gouvernementales américaines. À noter également qu’environ 250 victimes ukrainiennes ont été touchées. Quel est le but de ces attaques?
APT28, également connu sous le nom de Fancy Bear, est reconnu pour mener une série de cyberattaques, d’espionnage et d’opérations de divulgation d’informations confidentielles pour le compte du gouvernement russe. Ont-ils développé de nouvelles techniques?
Les hackers russes exploitent une vulnérabilité des routeurs Cisco et déploient un malware nommé « Jaguar Tooth ».
Selon l’avis conjoint, les pirates ont exploité une vulnérabilité exploitable à distance corrigée par Cisco en 2017 pour déployer un malware personnalisé appelé « Jaguar Tooth », conçu spécifiquement pour infecter les routeurs non patchés. Comment s’y prennent-ils pour installer ce malware?
Pour installer le malware, les cybercriminels scannent les routeurs Cisco exposés sur Internet en utilisant une chaîne communautaire SNMP par défaut ou facile à deviner. Pourquoi le SNMP peut-il être dangereux?
Le SNMP, ou Simple Network Management Protocol, permet aux administrateurs réseau d’accéder et de configurer à distance les routeurs à la place d’un nom d’utilisateur ou d’un mot de passe, mais peut également être détourné pour obtenir des informations sensibles sur le réseau. Que se passe-t-il une fois le malware installé?
Une fois installé, le malware extrait des informations du routeur et offre un accès furtif et clandestin à l’appareil, selon les agences gouvernementales. Cette campagne de piratage fait-elle partie d’une tendance plus large?
Matt Olney, directeur du renseignement sur les menaces chez Cisco Talos, a déclaré dans un article de blog que cette campagne est un exemple d’une tendance beaucoup plus large d’adversaires sophistiqués ciblant les infrastructures réseau pour promouvoir des objectifs d’espionnage ou se prépositionner pour de futures activités destructrices. Est-ce que d’autres pays s’adonnent à de telles attaques?
Olney ajoute qu’en plus de la Russie, la Chine a également été repérée en train d’attaquer l’équipement réseau dans plusieurs campagnes. Comment l’industrie peut-elle réagir face à ces menaces grandissantes? Faudra-t-il songer à renforcer constamment la sécurité des appareils et des infrastructures numériques pour faire face à ces défis?
Source : Techcrunch
