美英安全部門聯合警告俄黑客正對網路基礎設備展開全面攻擊

美國國土安全部下屬部門US-CERT發布技術警報（Technical Alert，TA），由美國國土安全部（DHS）、聯邦調查局（FBI）和英國國家網路安全中心（NCSC）聯手分析的結果顯示，由俄羅斯政府資助的黑客正對路由器、交換機、防火牆以及入侵檢測系統等網路基礎設備發動攻擊，目標主要針對政府、私人機構、網路設備供應商以及ISP。

US-CERT表示，俄國政府的這些行動將嚴重影響美國安全以及經濟，而該技術警報的目的便是對網路設備供應商、ISP、公私部門組織以及家庭辦公室發出警告，以減少惡意活動帶來的損失。

這份技術警報包含了有關俄羅斯政府所資助之黑客，對受害者所採取的策略、技術以及程序細節。聯邦調查局相信，這些黑客正使用老舊受損的路由器，進行中間人攻擊，以支持間諜移動、偷取知識產權或持續對受害者進行網路監控，並進一步對未來的攻擊行動奠定基礎。

研究發現，從2015年來，這些黑客就已經開始對全球的企業級以及家庭辦公室級的路由器與交換機進行惡意活動。現在他們瞄準的對象，包含使用老舊協議以及缺乏安全性的設備，有漏洞的設備、違法獲取的認證，甚至是固件或操作系統漏洞等都是黑客可能攻擊的途徑，這些黑客還能修改或是封鎖路由器的網路流量。

US-CERT提到，黑客根本不需要對這些設備安裝惡意程序，就能完成一定程度的危害，因為不少設備本身未通過認證、使用未加密協議，抑或是製造商已經停止補丁支持，這些都會被黑客轉用作為攻擊的利器。

而之所以黑客要針對網路基礎設備攻擊，US-CERT認為，是因為大部組織及客戶都需要走訪這些設備，控制了路由器等同於控制了交通流量，而且網路設備的安全防護往往遭到忽略，在上面不會有完整的防護措施。

這波黑客攻擊通常會有六個階段，偵察、武器化、交付、開發、安裝最後指揮和控制。一開始黑客會進行大規模的掃瞄，對這些設備對外開放的連接埠進行識別，找出易受攻擊的目標，尤其是連接埠161與162的SNMP，還有思科SMI常用連接埠4786，被發現容易受黑客利用，並反過來泄漏配置文件等敏感信息。

US-CERT特別提到，SMI是思科開發的無用戶認證管理協議，黑客利用智能安裝開發工具（SIET），並濫用SMI協議來下載網路設備的配置文件、修改配置，甚至植入惡意程序及修改操作系統，而由於這些網路設備的可寫入性，將有助於惡意軟體在目標區網的擴展。

US-CERT對所有可能的攻擊目標提供了不同的防禦建議，但對一般大眾而言，US-CERT強調，不要使用未加密的管理協議、不要對互聯網開放網路設備的管理介面、不要使用未加密的協議，最後立即更換默認密碼並使用強密碼政策。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！