شهر سخت افزار/ بنابر خبری که طی چند روز گذشته در رسانه‌ها منتشر شده، ایالات متحده، بریتانیا و سیسکو نسبت به هکرهای APT28 تحت حمایت دولتی روسیه هشدار می‌دهند که بدافزار سفارشی به نام «دندان جگوار» را در روترهای سیسکو مجهز به سیستم‌عامل IOS مستقر کرده و اجازه دسترسی غیرقانونی به دستگاه را می دهند. در ادامه با جزئیات بیشتری از این انتشار بدافزار گسترده همراه ما باشید.

گروه هکری APT28 که با نام‌های Fancy Bear، STRONTIUM، Sednit و Sofacy نیز شناخته می‌شود، یک گروه خرابکارانه تحت حمایت دولتی است که طبق ادعای رسانه‌های غربی با اداره اطلاعات اصلی ستاد کل روسیه (GRU) مرتبط است. این گروه هکری به طیف گسترده‌ای از حملات علیه منافع اروپا و ایالات متحده نسبت داده شده و به سوء استفاده از آسیب‌پذیری‌های روز صفر برای انجام جاسوسی سایبری معروف شده است.

گزارش مشترکی که هفته گذشته توسط مرکز امنیت ملی سایبری بریتانیا (NCSC)، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA)، NSA و FBI منتشر شده، جزئیاتی را نشان می‌دهد که چگونه هکرهای APT28 از یک نقص قدیمی SNMP در روترهای IOS سیسکو برای استقرار در روتر قربانی استفاده می‌کنند.

بدافزار سفارشی روترهای سیسکو IOS
Jaguar Tooth بدافزاری است که مستقیماً به حافظه روترهای سیسکو که نسخه‌های قدیمی‌تر سیستم‌افزار (فریمور) را اجرا می‌کنند، تزریق می‌شود. پس از نصب، بدافزار اطلاعات را از روتر استخراج می‌کند و دسترسی درب پشتی تأیید نشده به دستگاه را فراهم می‌کند.

بنابر اعلام NCSC بدافزار دندان جگوار در حال حاضر تنها روترهای Cisco مجهز به سیستم‌عامل IOS را هدف قرار می‌دهد که از نسخه فریمور  C5350-ISM, Version 12.3(6) استفاده می‌کنند. NCSC در ادامه می‌گوید:

بدافزار دندان جگوار قابلیت جمع آوری اطلاعات دستگاه از طریق TFTP را داشته و دسترسی به درب پشتی تایید نشده را فعال می کند. این بدافزار عملیات خود را با تکیه بر آسیب پذیری SNMP که به شناسه CVE-2017-6742 به ثبت رسیده اجرا می‌کند. البته این آسیب پذیری در حال حاضر رفع شده ولی برای جلوگیری از دسترسی به آن نیاز است تا روترهای سیسکو بروز شوند.
برای نصب بدافزار، هکرها با استفاده از تکنیک اسکن جامع رشته‌های SNMP با درجه امنیت ضعیف در استرینگ‌های عمومی SNMP می‌کنند. در توضیح این بخش باید بگوییم که رشته‌های عمومی SNMP مانند اعتبارنامه‌هایی هستند که به هر کسی که رشته پیکربندی شده را می‌شناسد اجازه می‌دهد تا داده‌های SNMP را در یک دستگاه جستجو کند.

در این حالت اگر یک رشته عمومی SNMP معتبر کشف شود، هکر از آسیب‌پذیری CVE-2017-6742 SNMP، که در ژوئن 2017 برطرف شد، برای سوء استفاده و نیل به اهداف خود استفاده خواهد کرد. این آسیب‌پذیری یک نقص اجرای کد از راه دور تأیید نشده با کد سوء‌استفاده عمومی است.

هنگامی که عوامل تهدید به روتر سیسکو دسترسی پیدا می کنند، حافظه آن را برای نصب بدافزار سفارشی و غیر دائمی Jaguar Tooth وصله می کنند. گزارش تحلیلی بدافزار NCSC در این خصوص توضیح می‌دهد:

این امکان دسترسی به حساب‌های محلی موجود را بدون بررسی رمز عبور ارائه شده، هنگام اتصال از طریق Telnet یا جلسه فیزیکی فراهم می‌کند.
علاوه بر این، بدافزار مورد بحث فرآیند جدیدی به نام «Service Policy Lock» ایجاد می‌کند که خروجی را از دستورات Command Line Interface (CLI) زیر جمع‌آوری می‌کند و با استفاده از TFTP آن را استخراج می‌کند:

show running-config
show version
show ip interface brief
show arp
show cdp neighbors
show start
show ip route
show flash
در همین خصوص کلیه مدیران سیستم‌های مبتنی بر روترهای سیسکو باید روترهای خود را به آخرین نسخه سیستم عامل رسمی ارائه شده توسط شرکت ارتقا دهند تا خطر این حملات را کاهش دهند.

سیسکو همچنین به دلیل امنیت و عملکرد قوی‌تر، تغییر از SNMP به NETCONF/RESTCONF در روترهای عمومی را برای مدیریت از راه دور توصیه می کند. البته برای نیازهای تخصصی‌تر بهتر است راهنمایی که توسط شرکت تدارک داده شده را با مراجعه به مطالعه کنید.