美国与英国于2018年4月16日发布一份联合技术警报,其中详尽阐述了“俄罗斯国家支持型黑客利用各类网络协议入侵目标组织”的具体过程及更多细节,其中包括被利用的多种网络协议。
英美联合调查
根据美国国土安全部(简称DHS)、联邦调查局(简称FBI)以及英国国家网络安全中心(简称NCSC)的调查结果,俄罗斯黑客的攻击目标包括路由器、交换机、防火墙以及网络入侵检测系统(NIDS)。其主要打击对象包括政府与私营部门、关键基础设施运营商及其互联网服务供应商(ISP)。
报告指出,“FBI 方面高度确信,俄罗斯国家支持的网络攻击者正利用受威胁的路由器开展中间人攻击,借以支持间谍活动、渗漏知识产权、保持对受害者网络的持续访问,并有可能以此作为后续攻击活动的执行基础。”
DHS 与 FBI 方面发布的第一份指责俄罗斯网络攻击活动的报告为2016 年12月公布的 GRIZZLY STEPPE 报告。在2018年3月发布的另一份同类报告当中,美国列出“五项事实”指责莫斯科方面将攻击矛头指向其能源及其它重要基础设施部门。在此之前,美国曾于2017年10月发布一份关键基础设施攻击警报,但当时并未将相关活动归因于俄罗斯。
本次最新技术警报侧重于俄罗斯威胁行为者所使用的具体战术、技术及程序(TTP),特别是俄罗斯在攻击活动中利用的网络协议。根据美国当局的说法,攻击者能够识别出易受攻击的设备、提取其配置信息、映射内部网络架构、获取登录凭证,并利用此类资料以高权限用户身份访问目标系统。在此之后,黑客会修改目标设备的固件、操作系统与配置,以便将受害者的信息流量利用其自有基础设施进行重新定向。
被利用的网络协议
在恶意活动的侦察阶段,攻击者会扫描网络上的设备以查找接入互联网端口及服务的设备。其目标协议包括:
Telnet;
HTTP;
简单网络管理协议(SNMP);
思科智能安装(SMI)协议。
在初始扫描期间收集到的数据将帮助网络间谍们获取关于目标设备及组织用户的相关信息。
在攻击武器化与交付阶段,黑客会发送精心策划的 SNMP 与 SMI 消息,确保目标设备通过普通文件传输协议(TFTP)将其配置文件发送至攻击控制下的服务器处。该配置文件可能包含密码哈希以及可供攻击者利用的其它信息。
攻击者也可以通过暴力攻击及其它方法获取合法凭证,这意味着其将能够通过 Telnet、SSH 或者 Web 管理接口实现设备访问。
思科智能安装客户端属于一款旧有实用工具,允许用户以自动化方式安装新的思科交换机。攻击者可滥用 SMI 协议以修改运行有 IOS 及 IOS XE 软件的交换机上的配置文件,进而迫使目标设备执行重载、加载新的操作系统镜像并执行高权限命令。
自2016年以来,黑客们一直在滥用存在配置错误的 SMI 安装工具,并在当时就公布了一款相关工具。研究人员们最近还发现,智能安装方案亦受到一项高危安全漏洞(CVE-2018-0171)的影响,可导致远程代码执行——但目前尚无迹象表明此项漏洞已被用于实际攻击。
思科公司自2016年以来已经向各组织用户发出了关于智能安装方案的风险警告,并在CVE-2018-0171曝光后再度提出新一轮警告。网络巨头宣称,该项协议曾被俄罗斯威胁组织“蜻蜓”( Dragonfly,又名‘潜伏雪人’或‘能量熊’)用于发动影响严重的基础设施攻击。
各机构在报告中提到,一旦利用窃取凭证或恶意操作系统镜像中隐藏的后门完成设备访问,攻击者即可通过自己的网络对受害者流量进行镜像保存或重新定向。网络间谍们还曾利用通用路由封装(GRE)——由思科公司开发的隧道协议——协议发动中间人攻击(MITM)。
这份技术警报指出,“网络攻击者的操作范围绝不限于对往来于受害者处的流量进行修改或阻断。尽管尚无相关报道,但其它操纵活动在技术层面上同样完全可行。”
这份由 FBI、DHS 以及 NCSC 联合发布的报告还包含一系列关于各类组织机构如何抵御此类攻击活动的具体建议。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
