Мстительные хакеры атаковали российские сайты

09.04.2018

В пятницу неизвестные хакеры атаковали коммутаторы продукции компании Cisco, что привело к массовым сбоям в работе интернета, сообщила в субботу "Лаборатория Касперского".

Эксперты сообщают, что, судя по всему, для атаки используется бот, сканирующий через поисковик интернета вещей Shodan или даже через собственную утилиту Cisco устройства на предмет наличия этой уязвимости и эксплуатирующий ее. Нашел очередной уязвимый свитч, переписал конфигурацию – вывел из строя сегмент сети. В результате целые дата-центры оказываются недоступными, что приводит и к недоступности многих популярных сайтов.

По данным Cisco Talos, в мире насчитывается более 168 тыс. устройств, подверженных этой уязвимости. Масштабы атаки пока не полностью ясны, но они могут быть очень серьезными. Судя по всему, злоумышленники атакуют в основном русскоязычный сегмент интернета, хотя и другим явно тоже досталось.

Для получения доступа к роутерам хакеры используют уязвимость в Smart Install Client - программе, которая позволяет дистанционно модифицировать конфигурацию оборудования. В ходе атаки конфигурацию просто стирают.

Хакеры, получая доступ к роутерам, публикуют сообщение PWNED (искаженное owned - "вас поимели") и изображение американского флага либо оставляют послание: "Не вмешивайтесь в наши выборы". В "Лаборатории Касперского" объявили, что атака на роутеры Cisco сильнее всего затронула русскоязычный сегмент интернета.

Масштабная хакерская атака на коммутаторы компании Cisco в пятницу привела к тому, что были недоступны многие сайты, в том числе российских СМИ. Атаке подверглись, например, сайты газет "Фонтанка" и "Комсомольская правда". Также пользователи Twitter в пятницу сообщали о массовых сбоях в работе социальной сети.

По данным исследовательской группы Cisco Talos Intelligence, за атакой стоит связанная с российскими властями группировка Dragonfly ("Стрекоза"), которая стала известна еще в 2013 г. Тогда, по одной из версий, Dragonfly удалось заразить системы управления промышленной безопасности трех ведущих производителей. В 2014 г. этим хакерам приписывали атаку на системы управления промышленной безопасности сотен европейских и американских энергетических компаний.

Компания Cisco еще накануне предупредила об атаке. Производитель приписывал авторство Dragonfly, а также Crouching Yeti и Energetic Bear, которые упоминались в докладе подразделения Национального управления кибербезопасности Министерства внутренней безопасности США как связанные с российским правительством.