САЩ обвиниха китайски хакери за атака към телеком оборудване

Pixabay.com
Michal Jarmoluk

САЩ обвиниха китайски хакери за атака към телеком оборудване

Три агенции на САЩ излязоха със съвместно предупреждение и съвети за смекчаване на заплахите

Владимир Владков
195 прочитания

Pixabay.com

© Michal Jarmoluk


Щатското правителство предупреди, че хакери, "спонсорирани от китайската държава", намират начини да проникнат в големи телекомуникации и ИТ мрежи. Официалното предупреждение е издадено съвместно от Националната агенция по сигурността NSA, Агенцията по киберсигурност и сигурност на инфраструктурата (CISA) и ФБР.

В него се обяснява, че нападателите използват разнообразни техники, с които се възползват от публично известни уязвими места в оборудването. Това им позволява да създадат широка мрежа от компрометирана инфраструктура. По този начин широк кръг от организации от публичния и частния сектор ще бъдат уязвими към атаки.

"От 2020 г. насам Китайската народна република е спонсорирала киберлица, които са провели широкомащабни кампании за бързо използване на публично идентифицирани уязвимости в сигурността, познати като common vulnerabilities and exposures (CVEs), пише в предупреждението.

Уязвимостите CVEs се проявяват в различни видове. Някои позволяват на нападателите да заобикалят удостоверяването или да задават свои собствени привилегии за достъп, а други позволяват дистанционно изпълнение на код (RCE), давайки на нападателите възможността да стартират злонамерен код в компрометираното оборудване.

"Тази техника позволи на участниците да получат достъп до акаунти на жертви, използвайки публично достъпен код за експлоатиране чрез услуги на виртуални частни мрежи (VPN) или публични приложения - без да използват собствен идентифициращ злонамерен софтуер - стига участниците да са действали, преди организациите на жертвите да актуализират своите системи", казват от агенциите.

Инструментите с отворен код като RouterSploit и RouterScan могат да разпознаят модели и известни уязвимости на различни маршрутизатори на Cisco, Citrix, Juniper, Netgear и QNAP, давайки на хакерите възможност да се "настанят" в мрежата на жертвата. Агенциите отбелязват, че хакерите често ги комбинират със собствени инструменти, за да прикрият дейността си.

Веднъж влезли вътре, те започват да получават достъп до необходимите идентификационни данни за акаунт на потребител с висока позиция, които им позволяват да изпълняват команди на рутера, тайно да улавят и да изпращат трафик на данни към собствената мрежа на хакера. Нахлуванията обикновено се извършват от компрометирани сървъри. Тези така наречени hop точки имат китайски IP адреси, свързани с различни китайски доставчици на интернет услуги.

"Кибернападателите обикновено използват сървъри, като наемат отдалечен достъп пряко или косвено от хостинг доставчици, обясняват агенциите. Те използват тези сървъри за регистриране и достъп до оперативни е-пощенски акаунти, за хостване на C2 домейни (командни и контролни) и за взаимодействие с мрежи на жертви."

Американските агенции препоръчват няколко метода за смекчаване на заплахите, за да помогнат на предприятията и телекомуникационните оператори да се противопоставят. Всички те представляват разумни техники като използване на многофакторно удостоверяване, прилагане на строги изисквания за парола и поддържане на актуализация на системите и бързо "закърпване" на уязвимостите.

Те препоръчват още деактивиране на неизползваните или ненужни мрежови услуги, портове, протоколи и устройства, изолиране на устройства, за които се предполага, че са компрометирани, както и сегментиране на мрежите. В допълнение, администраторите трябва да поддържат регистрационните дневници за услугите с достъп през интернет, за да наблюдават за подозрителна дейност, и по подобен начин да съхраняват записи за достъп до инфраструктура, промени в конфигурацията и критични инфраструктурни услуги, които изпълняват функции за удостоверяване и оторизация.

Щатското правителство предупреди, че хакери, "спонсорирани от китайската държава", намират начини да проникнат в големи телекомуникации и ИТ мрежи. Официалното предупреждение е издадено съвместно от Националната агенция по сигурността NSA, Агенцията по киберсигурност и сигурност на инфраструктурата (CISA) и ФБР.

В него се обяснява, че нападателите използват разнообразни техники, с които се възползват от публично известни уязвими места в оборудването. Това им позволява да създадат широка мрежа от компрометирана инфраструктура. По този начин широк кръг от организации от публичния и частния сектор ще бъдат уязвими към атаки.

С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК