6 апреля хакерская группировка JHT атаковала критическую инфраструктуру ряда стран, включая Иран и Россию. Это привело к сбою в работе ряда интернет-провайдеров, дата-центров и некоторых web-сайтов.
В атаках злоумышленники использовали уязвимость CVE-2018-0171 в сетевых коммутаторах Cisco с поддержкой технологии SMI (Smart Install). Хакеры перезаписывали образ системы Cisco IOS и меняли конфигурационный файл, оставляя в нем сообщение с текстом: «Don't mess with our elections....» (Не вмешивайтесь в наши выборы) и изображением американского флага.
В беседе с журналистом издания Motherboard представители группировки пояснили, что «устали от атак поддерживаемых государством хакеров на США и другие страны […] Мы просто хотели оставить послание».
На минувшей неделе специалисты команды Cisco Talos предупредили о том, что хакерские группировки используют уязвимость в коммутаторах Cisco с поддержкой протокола SMI для атак на объекты критической инфраструктуры по всему миру. По данным Talos, в Сети насчитывается 168 тыс. уязвимых устройств.
Согласно сообщению Министерства информации и телекоммуникаций Ирана, атака затронула 200 тыс. коммутаторов по всему миру, из них 3,5 тыс. расположены в Иране. По словам главы ведомства Мохаммада Джавада Азари Джахроми, атаке в основном подверглись объекты в Европе, Индии и США.
Как утверждают хакеры, они действительно сканировали множество стран на предмет уязвимых коммутаторов, включая Великобританию, США и Канаду, но атаковали только Иран и РФ. По их словам, они исправили проблему в уязвимых устройствах в США и Великобритании «для предотвращения дальнейших атак». Ранее специалисты Cisco опубликовали рекомендации по предотвращению эксплуатации проблемы, видимо, этими инструкциями и воспользовались «мстители».
«В результате в крупных странах практически не осталось уязвимых устройств», - утверждают хакеры.
Тем не менее, поиск Shodan показал, что по состоянию на субботу, 7 апреля, число уязвимых устройств сократилось всего с 168 тыс. до 166 тыс., из них 46 тыс. коммутаторов находятся в США.
Сравнив атаки, совершаемые на объекты КИИ и прочие российские компании, аналитики центра мониторинга и реагирования на кибератаки Solar JSOC обнаружили, что интенсивность атаки возрастала в 20-30 раз, если была направлена на критическую информационную инфраструктуру. Пул адресов, с которыъхх производились атаки на значимые объекты КИИ, также существенно шире, чем тот, с которого атаковали остальные компании.
Для широковещательных атак, таких как WannaCry и Bad Rabbit, характерна массовость и ненаправленность действий злоумышленников. Они атакуют веерно, и во всех компаниях, оказавшихся уязвимыми, атака развивается по одному и тому же сценарию. В данном случае наблюдается существенное отличие: киберпреступники явно прикладывали больше усилий именно для поражения значимых объектов КИИ, и это дает основание говорить о нацеленности атаки.
