Hackers dejan la bandera de EE.UU luego vulnerar switches cisco en Rusia e irán

Los switches de Cisco en los centros de datos ubicados en Irán y Rusia se convirtieron en el objetivo de los piratas informáticos este viernes. Según se informa, los dispositivos de Cisco fueron secuestrados mediante la explotación de su función de instalación inteligente. Después de atacar los conmutadores vulnerables, los piratas informáticos reescribieron su imagen IOS con la de una imagen de la bandera estadounidense y se cargó el siguiente mensaje:

No te metas con nuestras elecciones …

-JHT usafreedom_jht@tutanota.com“.

Para lograr esto, los hackers cambiaron la configuración de los switches de Cisco y utilizaron ASCII art para cargar el mensaje. Cabe señalar que Cisco ya lanzó un parche para un error crítico ( CVE-2018-0171 ) en su software Smart Install. Sin embargo, los informes sugieren que los ataques se llevaron a cabo con éxito al abusar del problema de uso incorrecto del protocolo de Smart Install.

Los hackers, que se refieren a sí mismos como JHT, declararon que querían advertir a los piratas informáticos patrocinados por el estado que intentaban atacar a los EE. UU. Y otros países a través de este ataque. Actualmente, los piratas informáticos explicaron que atacaron dispositivos en Irán y Rusia solo mientras que la mayoría de los dispositivos vulnerables ubicados en los EE. UU.

Se ha atacado un número significativo de switches, lo que sugiere la posibilidad de una campaña de hacktivistas completa que se haya iniciado para registrar protestas contra el pirateo relacionado con las elecciones. A partir de ahora, no está claro si el ataque se lleva a cabo explotando una falla recientemente identificada o un método de abuso conocido durante más de un año.

Los investigadores de Kaspersky Lab afirman que alguien ha desarrollado un robot que lleva a cabo los ataques de explotación mencionados anteriormente de forma automática. El bot reescribe el archivo de configuración y muestra el mensaje después del cual desactiva el interruptor. Kaspersky también afirmó que la mayoría de los objetivos incluyen centros de datos e ISP rusos.