In einer gemeinsamen Warnung schildern Behörden aus den USA, Australien, Kanada, Tschechien, Dänemark, Estland, Finnland, Italien, Neuseeland, Polen, Schweden und dem Vereinigten Königreich laufende russische Cyberaktivitäten gegen Netzwerkgeräte in kritischen Infrastrukturen weltweit. Im Mittelpunkt stehen laut der Mitteilung schlecht gesicherte Geräte, insbesondere Router, die nach dem Auffinden gezielt ausgenutzt werden.
Die Verfasser schreiben die Aktivitäten Bedrohungsakteuren des Zentrums 16 des russischen Föderalen Sicherheitsdienstes FSB zu. Genannt werden dabei Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard und Static Tundra. Betroffen seien Organisationen aus den Bereichen Kommunikation, Verteidigungsindustrie, Energie, Finanzen, Regierung sowie Gesundheitswesen und öffentliche Gesundheit.
Technisch beschreiben die Behörden ein Vorgehen über Proxy-Systeme. Die Angreifer senden demnach SNMP-Set-Anfragen an IP-Bereiche und veranlassen die SNMP-Agenten auf den Zielgeräten, Konfigurationen in eine Datei zu kopieren und diese zu übertragen. Die Übermittlung erfolge üblicherweise über das Trivial File Transfer Protocol an einen virtuellen privaten Server oder an einen kompromittierten FTP-Server.
Zusätzlich wurden laut der Mitteilung bekannte Schwachstellen in Cisco-Geräten ausgenutzt. Konkret nennen die Behörden CVE-2008-4128 und CVE-2018-0171. Beide Lücken ermöglichen demnach die Ausführung beliebigen Codes beziehungsweise beliebiger Befehle.
Die Verfasser weisen zugleich darauf hin, dass sich viele dieser Taktiken, Techniken und Verfahren mit Aktivitäten anderer bösartiger Cyberakteure überschneiden, etwa mit Salt Typhoon. Die Warnung ordnet die beobachteten Vorgänge damit in ein breiteres Muster ein, ohne die beschriebenen Operationen anderen Akteuren zuzuschreiben.
Für Verteidiger von Netzwerken nennen die Behörden eine Reihe konkreter Maßnahmen. Cisco Smart Install solle auf allen Geräten deaktiviert werden. Zudem raten sie dazu, SNMPv1 und SNMPv2 abzuschalten und stattdessen SNMPv3 mit modernen Verschlüsselungsstandards einzusetzen.
Außerdem empfehlen die Behörden, für Konten auf Netzwerkgeräten eindeutige Passwörter zu verwenden, Zugangsdaten sicher zu speichern und Anmeldungen über lokale Konten zu überwachen sowie entsprechende Warnmeldungen einzurichten. Ebenso sollten Zugriffe auf SNMP-Objektkennungen eingeschränkt, Management-Protokolle begrenzt und externe Verbindungen über bestimmte Ports an Perimeter-Firewalls und Geräten unterbunden werden.
Schließlich rät die gemeinsame Mitteilung dazu, Software und Firmware von Netzwerkgeräten aktuell zu halten, um bekannte Schwachstellen zu schließen. Ergänzend verweisen die Angaben darauf, dass die NSA kürzlich eine eigene Warnung veröffentlicht hat, wie sich das Risiko eines Missbrauchs von SNMP verringern lässt.
