AS, Inggris, dan Cisco memperingatkan peretas APT28 yang disponsori negara Rusia menyebarkan malware khusus bernama ‘Jaguar Tooth’ pada router Cisco IOS, memungkinkan akses yang tidak diautentikasi ke perangkat.
APT28, juga dikenal sebagai Fancy Bear, STRONTIUM, Sednit, dan Sofacy, adalah grup peretas yang disponsori negara yang terkait dengan Direktorat Intelijen Utama Staf Umum (GRU) Rusia. Grup peretasan ini telah dikaitkan dengan berbagai serangan pada kepentingan Eropa dan AS dan diketahui menyalahgunakan eksploitasi zero-day untuk melakukan spionase dunia maya.
Sebuah laporan bersama yang dirilis hari ini oleh Pusat Keamanan Siber Nasional Inggris (NCSC), Badan Keamanan Siber dan Infrastruktur AS (CISA), NSA, dan FBI merinci bagaimana peretas APT28 telah mengeksploitasi cacat SNMP lama pada router Cisco IOS untuk diterapkan malware khusus bernama ‘Jaguar Tooth.’
Malware router Cisco IOS khusus
Jaguar Tooth adalah malware yang disuntikkan langsung ke memori router Cisco yang menjalankan versi firmware lama. Setelah terinstal, malware mengekstraksi informasi dari router dan memberikan akses pintu belakang yang tidak diautentikasi ke perangkat.
“Jaguar Tooth adalah malware non-persisten yang menargetkan router Cisco IOS yang menjalankan firmware: C5350-ISM, Versi 12.3(6),” penasihat NCSC memperingatkan.
“Ini mencakup fungsionalitas untuk mengumpulkan informasi perangkat, yang dieksploitasi melalui TFTP, dan memungkinkan akses pintu belakang yang tidak diautentikasi. Telah diamati sedang digunakan dan dieksekusi melalui eksploitasi kerentanan SNMP yang ditambal CVE-2017-6742.”
Untuk menginstal malware, pelaku ancaman memindai router Cisco publik menggunakan string komunitas SNMP yang lemah, seperti string ‘publik’ yang umum digunakan. String komunitas SNMP seperti kredensial yang memungkinkan siapa saja yang mengetahui string yang dikonfigurasi untuk menanyakan data SNMP pada perangkat.
Jika string komunitas SNMP yang valid ditemukan, pelaku ancaman mengeksploitasi kerentanan CVE-2017-6742 SNMP, diperbaiki pada Juni 2017. Kerentanan ini adalah cacat eksekusi kode jarak jauh yang tidak diautentikasi dengan kode eksploit yang tersedia untuk umum.
Setelah pelaku ancaman mengakses router Cisco, mereka menambal memorinya untuk menginstal malware Jaguar Tooth khusus yang tidak persisten.
“Ini memberikan akses ke akun lokal yang ada tanpa memeriksa kata sandi yang disediakan, saat terhubung melalui Telnet atau sesi fisik,” jelas the Laporan analisis malware NCSC.
Selain itu, malware membuat proses baru bernama ‘Kunci Kebijakan Layanan’ yang mengumpulkan keluaran dari perintah Antarmuka Baris Perintah (CLI) berikut dan mengekstraknya menggunakan TFTP:
- tampilkan running-config
- tampilkan versi
- tampilkan singkat antarmuka ip
- tampilkan arp
- tampilkan cdp tetangga
- pertunjukan dimulai
- tampilkan rute ip
- menunjukkan kilat
Semua admin Cisco harus memutakhirkan router mereka ke firmware terbaru untuk mengurangi serangan ini.
Cisco juga merekomendasikan beralih dari SNMP ke NETCONF/RESTCONF pada router publik untuk manajemen jarak jauh, karena menawarkan keamanan dan fungsionalitas yang lebih kuat.
Jika SNMP diperlukan, admin harus mengonfigurasi mengizinkan dan menolak daftar untuk membatasi siapa yang dapat mengakses antarmuka SNMP pada router yang terbuka untuk umum, dan string komunitas harus diubah menjadi string acak yang cukup kuat.
CISA juga merekomendasikan untuk menonaktifkan SNMP v2 atau Telnet pada router Cisco, karena protokol ini dapat memungkinkan kredensial dicuri dari lalu lintas yang tidak terenkripsi.
Terakhir, jika perangkat dicurigai telah disusupi, CISA merekomendasikan untuk menggunakan saran Cisco memverifikasi integritas gambar IOSmencabut semua kunci yang terkait dengan perangkat dan tidak menggunakan kembali kunci lama, dan mengganti gambar dengan yang langsung dari Cisco.
Pergeseran target
Anjuran hari ini menyoroti tren yang berkembang di antara pelaku ancaman yang disponsori negara untuk membuat malware khusus untuk perangkat jaringan guna melakukan spionase dan pengawasan dunia maya.
Pada bulan Maret, Fortinet dan Mandiant mengungkapkan hal itu Peretas Cina menargetkan perangkat Fortinet yang rentan dengan malware khusus dalam serangkaian serangan terhadap entitas pemerintah.
Juga di bulan Maret, Mandiant melaporkan dugaan kampanye peretasan China yang dipasang malware khusus pada perangkat SonicWall yang terbuka.
Karena perangkat jaringan edge tidak mendukung solusi Endpoint Detection and Response (EDR), mereka menjadi target populer bagi pelaku ancaman.
Selain itu, karena mereka duduk di tepi dengan hampir semua lalu lintas jaringan perusahaan mengalir melalui mereka, mereka adalah target yang menarik untuk mengawasi lalu lintas jaringan dan mengumpulkan kredensial untuk akses lebih lanjut ke dalam jaringan.
