Агентство з кібербезпеки та безпеки інфраструктури США (CISA) попереджає про те, що загрози використовують незашифровані постійні файли cookie, якими керує модуль F5 BIG-IP Local Traffic Manager (LTM), для проведення розвідки цільових мереж.
Зазначається, що модуль використовується для перерахування інших пристроїв у мережі, які не мають доступу до Інтернету. Агентство, однак, не розкриває, хто стоїть за цією діяльністю та які кінцеві цілі кампанії.
«Зловмисник може використати інформацію, зібрану з незашифрованих постійних файлів cookie, щоб зробити висновок або ідентифікувати додаткові мережеві ресурси та потенційно використати вразливості, виявлені в інших пристроях у мережі», — йдеться в повідомленні CISA.
Організаціям також рекомендовано шифрувати постійні файли cookie, які використовуються в пристроях F5 BIG-IP, налаштувавши шифрування файлів cookie в профілі HTTP. Крім того, він закликає користувачів перевірити захист своїх систем, запустивши діагностичну утиліту BIG-IP iHealth, яку надає F5, щоб виявити потенційні проблеми.
«Компонент BIG-IP iHealth Diagnostics системи BIG-IP iHealth оцінює журнали, вихідні дані команд і конфігурацію вашої системи BIG-IP у порівнянні з базою даних із відомими проблемами, поширеними помилками та опублікованими найкращими методами F5», — зазначає F5 у підтверджуючий документ.
«Пріоритезовані результати надають індивідуальний відгук про проблеми конфігурації чи дефекти коду, а також надають опис проблеми [і] рекомендації щодо вирішення».
Розголошення сталося після того, як агентства з кібербезпеки Великобританії та США опублікували спільний бюлетень, в якому детально описуються спроби російських державних суб’єктів здійснити націлювання на дипломатичний, оборонний, технологічний і фінансовий сектори з метою збору іноземної розвідданої та проведення майбутніх кібероперацій.
Діяльність приписують загрозливому актору під іменем APT29, який також відомий як BlueBravo, Cloaked Ursa, Cozy Bear і Midnight Blizzard. APT29 вважається ключовим гвинтиком російської військової розвідувальної машини та пов’язаний зі Службою зовнішньої розвідки (СЗР).
«Кібер-вторгнення SVR включають велику увагу до того, щоб залишатися анонімними та непоміченими. Актори широко використовують TOR під час вторгнень – від початкового націлювання до збору даних – і в усій мережевій інфраструктурі», – повідомили агентства.
«Актори орендують операційну інфраструктуру, використовуючи різноманітні підроблені особи та облікові записи електронної пошти з низькою репутацією. SVR отримує інфраструктуру від торгових посередників основних хостинг-провайдерів».
Атаки, здійснені APT29, були класифіковані як атаки, призначені для збору розвідувальних даних і встановлення постійного доступу, щоб сприяти компрометації ланцюга постачання (тобто цілі намірів), а також атаки, які дозволяють їм розміщувати шкідливу інфраструктуру або проводити наступні операції з скомпрометовані облікові записи, скориставшись загальновідомими недоліками, слабкими обліковими даними або іншими неправильними конфігураціями (тобто цілями можливостей).
Деякі з виділених значних уразливостей безпеки включають CVE-2022-27924, помилку впровадження команд у Zimbra Collaboration, і CVE-2023-42793, критичну помилку обходу автентифікації, яка дозволяє віддалено виконувати код на сервері TeamCity.
APT29 є актуальним прикладом того, як суб’єкти загрози постійно інновують свою тактику, техніку та процедури, намагаючись залишатися непомітними та обійти захист, навіть доходячи до руйнування своєї інфраструктури та стирання будь-яких доказів, якщо підозрюється, що їх вторгнення було виявлено або жертва або правоохоронні органи.
Іншим відомим прийомом є широке використання проксі-мереж, що включає постачальників мобільного телефону або домашні Інтернет-послуги, для взаємодії з жертвами, які знаходяться в Північній Америці, і змішування з легальним трафіком.
«Щоб порушити цю діяльність, організації повинні встановити базовий рівень авторизованих пристроїв і застосувати додаткову перевірку систем, які отримують доступ до їхніх мережевих ресурсів, які не дотримуються базового рівня», — заявили агентства.
CISA попереджає про те, що зловмисники використовують файли cookie F5 BIG-IP для розвідки мережі
