Связанные с Россией хакеры обрушивают интернет благодаря уязвимости в роутерах Cisco

7 апреля 2018 года

Хакеры проводят крупную атаку на оборудование интернет-провайдеров по всему миру. Уязвимость нашли в роутерах одного из мировых лидеров - компании Cisco. IT-специалист Владислав Здольников на своем Telegram-канале указывает, что «отваливаются сегменты или даже целые провайдеры». Издание The Inquirer (Архивная копия от 20 декабря 2019 на Wayback Machine) утверждает, что проводящие атаку хакеры связаны с российским правительством и группировкой Dragonfly, как ее называют специалисты антивирусной компании Symantec.

Для получения доступа к роутерам хакеры используют уязвимость в Smart Install Client - программе, которая позволяет дистанционно модифицировать конфигурацию оборудования. В ходе атаки конфигурацию просто стирают.

На видео показаны последствия взлома. Хакеры, получая доступ к роутерам, публикуют сообщение «PWNED» (искаженное «owned» - «вас поимели») и изображение американского флага.

IT-специалист Александр Литреев указывает, что Cisco выпустила патч для устранения этой критической уязвимости, но применили его далеко не все.

Embedi сообщает, что в ходе экспресс-сканирования интернета выявлено 250 тысяч уязвимых устройств и 8,5 миллиона устройств, у которых открыт порт, через который злоумышленники получают доступ к исполнению команды Smart Install Client.

По утверждению Здольникова, сейчас интернет сканирует бот, который вырубает все роутеры, к которым может получить доступ. В его канале приводится список уязвимых устройств, в нем 17 моделей роутеров Cisco.

Dragonfly берет новую высоту

Самая знаменитая выходка хакеров, которую приписывают группировке Dragonfly - ряд вторжений в компьютеры электрических компаний и АЭС по всему миру.

С начала 2017 года Symantec отследила около 100 таких взломов, половина из которых произошла в США. Таким образом, у Dragonfly, вероятно, есть возможности для управления системами контроля электросетей, включающими механизмы замыкания электроцепей, делали вывод специалисты.

В сентябре 2017 года издание The Daily Beast уточняло, что акции хакеров из Dragonfly напоминают скорее исследовательские этапы, на которых они просто пытаются получить доступ к сетям организаций-мишеней: «До сих пор вторжения представляли собой сбор разведданных - технических диаграмм, паролей, отчетов, шифровальных ключей - в основном из административных сетей, которые не контролируют оборудование».

Еще в 2014 году Symantec сообщала о том, что системы управления промышленной безопасности сотен европейских и американских энергетических компаний были заражены сложной вредоносной программой хакерской группировки, имеющей связи с Россией. Тогда эксперты заявляли, что за вредоносной программой стоит хакерская группа Dragonfly. Она получила известность в 2013 году, когда ее участникам удалось заразить системы управления промышленной безопасности трех ведущих производителей. Dragonfly тайно внесла вредоносные программы в официальные обновления к программному обеспечению, которые эти компании отправляли своим клиентам. Общее число систем безопасности, зараженных в результате этой атаки, превысило 250.