ФБР, CISA (Агентство по кибербезопасности и безопасности инфраструктуры) и АНБ выступили с общим заявлением о том, что киберпреступники, которые поддерживаются властями Китая, нацелены на взлом американских телекоммуникационных компаний и поставщиков сетевых услуг. Сети некоторых неназванных предприятий отрасли в США уже были скомпрометированы китайскими злоумышленниками для кражи учетных данных и конфиденциальной информации, сообщает Bleeping Computer.
«Китайские APT-группы эксплуатируют общеизвестные уязвимости для взлома уязвимых маршрутизаторов и коммуникаторов, малых, средних и крупных корпоративных сетей. Атаки проводятся практически на все организации телекоммуникационной отрасли США, вне зависимости от их размера, штат, сотрудничества с властями страны и иных факторов», – уточнили в CISA.
После компрометации сети злоумышленники используют взломанные устройства в качестве части собственной IT-инфраструктуры – такие устройства хакеры делают своими серверами управления и контроля, прокси-системами, которые они могут применять для проникновения в сети других компаний.
«После первоначально закрепления в сети телекоммуникационной компании китайские APT-группы определяют критически важных пользователей и сетевую инфраструктуру, в том числе критические важные системы, используемые для обеспечения кибербезопасности, аутентификации, учета, авторизации.
Затем хакеры крадут учетные данные для доступа к ключевым базам данных SQL и используют команды SQL для сброса учетных данных пользователей и администраторов с важных серверов службы удаленной аутентификации пользователей», – заявили в CISA.
При успешном получении доступа к учетным записям критически важных пользователей, учетным данным со взломанного сервера RADIUS и конфигурациям маршрутизатора компании, хакеры возвращаются в сеть и используют свой доступ для аутентификации в системе, выполнения команд маршрутизатора для скрытого захвата и вывода корпоративного трафика из сети компании. Вывод осуществляется в контролируемую злоумышленниками сетевую инфраструктуру, резюмировали в CISA.
В выпущенном бюллетене безопасности Агентство по кибербезопасности и безопасности инфраструктуры США уточнило, что атаки китайских хакеров проводятся с эксплуатацией следующих уязвимостей:
- Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652).
- Citrix (CVE-2019-19781).
- DrayTek (CVE-2020-8515).
- D-Link (CVE-2019-16920).
- Fortinet (CVE-2018-13382).
- MikroTik (CVE-2018-14847).
- Netgear (CVE-2017-6862).
- Pulse (CVE-2019-11510, CVE-2021-22893).
- QNAP (CVE-2019-7192, CVE-2019-7193, CVE-2019-7194, CVE-2019-7195).
- Zyxel (CVE-2020-29583).
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Telegram | Дзен | Мессенджер | ICQ New | YouTube | Rutube | Now | Пульс.
