Инциденты

Старые роутеры открыли вход в критическую инфраструктур

Маша Даровская
By Маша Даровская , IT-редактор и автор
Старые роутеры открыли вход в критическую инфраструктур
Обложка © Anonhaven

Спецслужбы и центры кибербезопасности США, Великобритании, Канады, Австралии, Франции, Финляндии, Чехии, Польши и ещё нескольких стран выпустили совместное предупреждение об атаках на сетевое оборудование. Основная цель — плохо настроенные и давно не обновлявшиеся маршрутизаторы в энергетике, связи, финансах, здравоохранении, государственном секторе и оборонной промышленности.

За операциями авторы документа закрепляют подразделение Центра 16 ФСБ России. В отраслевых отчётах связанные кластеры встречаются под названиями Static Tundra, Energetic Bear, Berserk Bear, Dragonfly, Crouching Yeti и Ghost Blizzard. Полного соответствия между названиями нет: разные исследовательские группы объединяют и разделяют активность по собственным признакам.

Главный сюрприз кампании — отсутствие нового сложного эксплойта. Во многих случаях злоумышленникам хватает открытого SNMP, стандартной строки доступа, старого протокола Cisco Smart Install и уязвимости, исправленной ещё в 2018 году.

Роутер снова оказался тем самым устройством, которое работает годами, стоит на границе сети и обновляется примерно никогда.

Маршрутизаторы и коммутаторы часто управляются через SNMP — простой протокол сетевого управления. С его помощью система мониторинга получает загрузку процессора, состояние интерфейсов, таблицу маршрутизации и другие сведения. При наличии прав на запись через тот же механизм можно менять конфигурацию устройства.

Операторы кампании сканируют диапазоны IP-адресов в поисках оборудования с доступным SNMP. Особый интерес представляют устройства, принимающие распространённые или заводские строки сообщества — старый аналог пароля в SNMPv1 и SNMPv2. Запросы отправляются через прокси, а адрес источника иногда подменяется.

После обнаружения подходящего маршрутизатора атакующие посылают SNMP Set-запросы. Внутри находятся идентификаторы объектов OID, которые фактически приказывают устройству:

  1. сохранить текущую конфигурацию в файл;

  2. назвать его, например, config.bkp или output.txt;

  3. передать файл на внешний сервер по TFTP либо FTP.

Получателем выступает арендованный виртуальный сервер или ранее взломанный FTP-сервер. Управляющий компьютер атакующего может даже не соединяться с целью напрямую.

Конфигурационный файл — почти готовая карта сети. В нём могут находиться адреса внутренних сегментов, списки управления доступом, параметры туннелей, строки SNMP, учётные записи, сведения о соседних устройствах и настройки централизованной аутентификации.

Старые модели Cisco иногда хранят секреты в небезопасном виде. Совместное предупреждение отдельно советует отказаться от типов паролей 0, 4 и 7. Первый вариант оставляет пароль открытым текстом, остальные считаются недостаточно стойкими. Для локальных учётных записей рекомендуется тип 8.

Украденные данные позволяют подобрать рабочую учётную запись, создать нового администратора или продолжить разведку внутри сети. Cisco Talos наблюдала случаи, когда атакующие добавляли локальных пользователей, создавали новые SNMP-строки с правом записи, включали Telnet и меняли списки доступа в свою пользу.

FBI ранее сообщало о сборе конфигураций с тысяч сетевых устройств, связанных с американскими организациями. На части маршрутизаторов настройки меняли для сохранения несанкционированного доступа. Последующая разведка показывала интерес к приложениям и протоколам, характерным для промышленных систем управления.

Это ещё не означает прямого управления электростанцией или медицинским оборудованием. Компрометация пограничного маршрутизатора создаёт удобную площадку для изучения сети, перехвата трафика и подготовки следующего этапа атаки.

Помимо слабой конфигурации SNMP, операторы используют CVE-2018-0171 в Cisco IOS и IOS XE. Ошибка находится в функции Smart Install, предназначенной для начальной настройки сетевого оборудования.

Неавторизованный удалённый пользователь может отправить специальное сообщение на TCP-порт 4786. Ошибка проверки пакета вызывает переполнение буфера, перезагрузку устройства, зависание или выполнение произвольного кода. Cisco выпустила исправление в марте 2018 года.

После эксплуатации злоумышленники способны включить встроенный TFTP-сервер командой, открывающей доступ к стартовой конфигурации. Затем файл забирается с маршрутизатора. В нём могут обнаружиться рабочие пароли и строки SNMP, которые используются для более тихого возвращения.

Talos фиксирует активное применение CVE-2018-0171 как минимум с 2021 года. Типичные жертвы используют давно снятое с поддержки оборудование, на которое не поставили обновление, либо оставили Smart Install включённым после первоначальной настройки.

В совместном документе также упоминается CVE-2008-4128. Эта ошибка затрагивает устаревшие устройства Cisco, уже завершившие жизненный цикл. Она включена в каталог реально эксплуатируемых уязвимостей CISA.

Кража настроек используется для длительной разведки. Cisco Talos связывает Static Tundra с операциями, в которых доступ к сетевой инфраструктуре сохранялся несколько лет.

Для закрепления создаются привилегированные локальные учётные записи и дополнительные строки SNMP с правами чтения и записи. На отдельных устройствах исследователи отмечали имплант SYNful Knock — модифицированный образ Cisco IOS, переживающий перезагрузку и активируемый специально сформированным сетевым пакетом.

После закрепления возможны более сложные действия. Исследователи наблюдали создание GRE-туннелей для перенаправления интересующего трафика, сбор NetFlow и изменение TACACS+, из-за которого централизованное журналирование работает хуже. Такие операции позволяют изучать соединения и скрывать административную активность.

Заметить подобное сложнее, чем вредоносную программу на рабочей станции. На маршрутизаторе нет привычного антивируса, а команды выполняются штатными средствами операционной системы. Обычный сетевой трафик продолжает проходить, поэтому устройство выглядит исправным.

Июльское предупреждение выделяет связь, энергетику, финансовые организации, здравоохранение, государственные учреждения и оборонно-промышленный сектор. Кампания затрагивает сети в США и других странах и носит оппортунистический характер: сначала ищется широкий набор доступных устройств, затем выбираются наиболее интересные цели.

Cisco Talos ранее обнаруживала активность против телекоммуникационных компаний, производственных предприятий и университетов в Северной Америке, Европе, Азии и Африке. Приоритет менялся, однако общий подход оставался прежним — использовать старое пограничное устройство как вход и источник конфигурационных данных.

Весной британский NCSC опубликовал отдельное предупреждение об атаках APT28 на домашние и офисные маршрутизаторы. Там злоумышленники меняли настройки DHCP и DNS, перенаправляли пользователей через собственные DNS-серверы и пытались перехватывать пароли и токены OAuth.

Текущий июльский документ описывает другую активность и другого оператора — Центр 16 ФСБ. Основной сценарий строится вокруг SNMP, Cisco Smart Install и кражи конфигурационных файлов.

NSA рекомендует полностью отключить SNMPv1 и SNMPv2. Эти версии передают строку сообщества без современной криптографической защиты, поэтому её можно перехватить и повторно использовать.

SNMPv3 следует настраивать в режиме authPriv, который включает проверку подлинности и шифрование. Устройство без поддержки этого режима агентство советует заменить.

NSA советует помещать SNMP и SSH в отдельный управляющий сегмент, желательно физически или логически отделённый от пользовательской сети. При наличии выделенного порта управления все административные протоколы должны проходить через него.

Есть новость? Станьте автором.

Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.