Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Власти США обвинили китайские APT-группы во взломе телекоммуникационных компаний

4
2 мин
ФБР, CISA (Агентство по кибербезопасности и безопасности инфраструктуры) и АНБ выступили с общим заявлением о том, что киберпреступники, которые поддерживаются властями Китая, нацелены на взлом американских телекоммуникационных компаний и поставщиков сетевых услуг. Сети некоторых неназванных предприятий отрасли в США уже были скомпрометированы китайскими злоумышленниками для кражи учетных данных и конфиденциальной информации, сообщает Bleeping Computer. «Китайские APT-группы эксплуатируют общеизвестные уязвимости для взлома уязвимых маршрутизаторов и коммуникаторов, малых, средних и крупных корпоративных сетей. Атаки проводятся практически на все организации телекоммуникационной отрасли США, вне зависимости от их размера, штат, сотрудничества с властями страны и иных факторов», – уточнили в CISA. После компрометации сети злоумышленники используют взломанные устройства в качестве части собственной IT-инфраструктуры – такие устройства хакеры делают своими серверами управления и контроля

ФБР, CISA (Агентство по кибербезопасности и безопасности инфраструктуры) и АНБ выступили с общим заявлением о том, что киберпреступники, которые поддерживаются властями Китая, нацелены на взлом американских телекоммуникационных компаний и поставщиков сетевых услуг. Сети некоторых неназванных предприятий отрасли в США уже были скомпрометированы китайскими злоумышленниками для кражи учетных данных и конфиденциальной информации, сообщает Bleeping Computer.

Изображение: Yan Ke (unsplash)
Изображение: Yan Ke (unsplash)

«Китайские APT-группы эксплуатируют общеизвестные уязвимости для взлома уязвимых маршрутизаторов и коммуникаторов, малых, средних и крупных корпоративных сетей. Атаки проводятся практически на все организации телекоммуникационной отрасли США, вне зависимости от их размера, штат, сотрудничества с властями страны и иных факторов», – уточнили в CISA.

После компрометации сети злоумышленники используют взломанные устройства в качестве части собственной IT-инфраструктуры – такие устройства хакеры делают своими серверами управления и контроля, прокси-системами, которые они могут применять для проникновения в сети других компаний.

«После первоначально закрепления в сети телекоммуникационной компании китайские APT-группы определяют критически важных пользователей и сетевую инфраструктуру, в том числе критические важные системы, используемые для обеспечения кибербезопасности, аутентификации, учета, авторизации.

Затем хакеры крадут учетные данные для доступа к ключевым базам данных SQL и используют команды SQL для сброса учетных данных пользователей и администраторов с важных серверов службы удаленной аутентификации пользователей», – заявили в CISA.

При успешном получении доступа к учетным записям критически важных пользователей, учетным данным со взломанного сервера RADIUS и конфигурациям маршрутизатора компании, хакеры возвращаются в сеть и используют свой доступ для аутентификации в системе, выполнения команд маршрутизатора для скрытого захвата и вывода корпоративного трафика из сети компании. Вывод осуществляется в контролируемую злоумышленниками сетевую инфраструктуру, резюмировали в CISA.

В выпущенном бюллетене безопасности Агентство по кибербезопасности и безопасности инфраструктуры США уточнило, что атаки китайских хакеров проводятся с эксплуатацией следующих уязвимостей:

  • Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652).
  • Citrix (CVE-2019-19781).
  • DrayTek (CVE-2020-8515).
  • D-Link (CVE-2019-16920).
  • Fortinet (CVE-2018-13382).
  • MikroTik (CVE-2018-14847).
  • Netgear (CVE-2017-6862).
  • Pulse (CVE-2019-11510, CVE-2021-22893).
  • QNAP (CVE-2019-7192, CVE-2019-7193, CVE-2019-7194, CVE-2019-7195).
  • Zyxel (CVE-2020-29583).

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.