Οι ΗΠΑ προειδοποιούν ότι χάκερ που εργάζονται για την Κίνα εκμεταλλεύονται δημόσια γνωστά ελαττώματα σε συσκευές δικτύου ως μέρος ευρύτερων επιθέσεων για να κλέψουν και να χειραγωγήσουν την κυκλοφορία του δικτύου.
Δείτε επίσης: Δίκη για απάτη και κλοπή ταυτότητας δοκιμάζει τον αμερικανικό νόμο κατά του hacking
Η Εθνική Υπηρεσία Ασφαλείας (NSA), το Ομοσπονδιακό Γραφείο Ερευνών (FBI) και η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) έχουν καταγράψει 16 ελαττώματα στο λογισμικό συσκευών δικτύου από 10 brands, συμπεριλαμβανομένων των Cisco, Fortinet, Netgear, MikroTik, Pulse Secure και Citrix που αποκαλύφθηκαν δημόσια μεταξύ 2018 και 2021. Τα περισσότερα από τα ελαττώματα αξιολογούνται ως κρίσιμα.
Αυτά τα ελαττώματα είναι αυτά που εκμεταλλεύονται συχνότερα οι χάκερ που υποστηρίζονται από τη Λαϊκή Δημοκρατία της Κίνας (ΛΔΚ) από το 2020, σύμφωνα με τα πρακτορεία.
«Από το 2020, φορείς του κυβερνοχώρου που χρηματοδοτούνται από το κράτος της ΛΔΚ έχουν διεξαγάγει εκτεταμένες εκστρατείες για να εκμεταλλευτούν γρήγορα τα δημόσια ευάλωτα σημεία ασφαλείας», προειδοποιούν οι υπηρεσίες.
Δείτε επίσης: Νέο SVCReady malware: Φορτώνει από τις ιδιότητες του Word doc
«Αυτή η τεχνική επέτρεψε στους χάκερ να αποκτήσουν πρόσβαση σε λογαριασμούς θυμάτων χρησιμοποιώντας δημόσια διαθέσιμο exploit code έναντι υπηρεσιών virtual private network (VPN) ή εφαρμογών public facing –χωρίς να χρησιμοποιούν δικό τους διακριτικό ή αναγνωριστικό κακόβουλο λογισμικό– εφόσον οι δρώντες ενήργησαν πριν τα θύματα ενημερώσουν τα συστήματα τους».
Η προειδοποίηση αφορά επιθέσεις που εκμεταλλεύονται σφάλματα που επηρεάζουν τα small business routers, τις συσκευές αποθήκευσης που συνδέονται με το δίκτυο (NAS) και τα εταιρικά VPNs. Ωστόσο, οι agencies περιγράφουν λεπτομερώς τη δραστηριότητα σάρωσης και τα compromises εξειδικευμένων server ελέγχου ταυτότητας που χρησιμοποιούνται από μεγάλες εταιρείες τηλεπικοινωνιών και παρόχους υπηρεσιών δικτύου.
Οι συσκευές δικτύου όπως τα small business routers και οι συσκευές NAS χρησιμεύουν ως πρόσθετα σημεία πρόσβασης για τη δρομολόγηση της κίνησης command and control (C2).
Οι απειλητικοί φορείς που υποστηρίζονται από την Κίνα χρησιμοποίησαν και software exploit frameworks ανοιχτού κώδικα για routers για τη σάρωση για ευπάθειες σε συσκευές internet-facing.
Για να παραβιάσουν τις τηλεπικοινωνίες, οι εισβολείς εντόπισαν κρίσιμους servers Remote Authentication Dial-In User Service (RADIUS) και στη συνέχεια χρησιμοποίησαν εντολές SQL για το dump των user και admin credentials από την υποκείμενη βάση δεδομένων του server. Το RADIUS είναι ένα ευρέως υποστηριζόμενο πρότυπο πρωτοκόλλου δικτύωσης για έλεγχο ταυτότητας, εξουσιοδότηση και λογιστική διαχείριση των χρηστών που έχουν πρόσβαση σε ένα δίκτυο.
Χρησιμοποιώντας credentials από τους στοχευμένους servers RADIUS, οι χάκερ στη συνέχεια χρησιμοποίησαν προσαρμοσμένα αυτοματοποιημένα scripts για routers Cisco και Juniper για έλεγχο ταυτότητας σε επηρεαζόμενο router μέσω Secure Shell (SSH) και εκτέλεση εντολών router. Οι χάκερ αποθήκευσαν την έξοδο αυτών των εντολών, συμπεριλαμβανομένων των μεμονωμένων router configurations, και στη συνέχεια μετέφεραν τις πληροφορίες στη δική τους υποδομή.
Έχοντας αποκτήσει router configurations, καθώς και έγκυρους λογαριασμούς και credentials, οι εισβολείς θα μπορούσαν να χειραγωγήσουν την κυκλοφορία μέσα σε ένα στοχευμένο δίκτυο και να εκμεταλλευτούν την κυκλοφορία έξω από αυτό.
Δείτε επίσης: Shields: Παραβίαση δεδομένων επηρεάζει 2 εκατομμύρια Αμερικανούς
Οι υπηρεσίες συνιστούν την επιδιόρθωση των επηρεαζόμενων συσκευών, την αφαίρεση ή την απομόνωση παραβιασμένων συσκευών από το δίκτυο, την αντικατάσταση hardware που έχουν φτάσει στο τέλος του κύκλου ζωής τους, την απενεργοποίηση αχρησιμοποίητων ή μη απαραίτητων υπηρεσιών, θυρών, πρωτοκόλλων και συσκευών και την επιβολή ελέγχου ταυτότητας πολλαπλών παραγόντων για όλους τους χρήστες, χωρίς εξαίρεση.
Πηγή πληροφοριών: zdnet.com
