user100
09.06.2022, 09:54
Американские спецслужбы триадой заявили о варварских проникновениях китайских АРТ в национальный телеком.
Опубликованный бюллетень по кибербезопасности под авторством АНБ, CISA и ФБРбольше напоминает надуманный предлог для очередных неправомерных санкций.
По данным авторов, прокитайские АРТнацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя общеизвестные уязвимости , взломали буквально все: от непропатченных офисных маршрутизаторов до крупных корпоративных сетей, для кражи учетных данных и сбора данных.
Все скомпрометированные незащищенные сетевые устройства хакеры использовали в качестве инфраструктуры для атак, располагая сервера управления и контроля и прокси-системы.
После закрепления внутри телекоммуникационной организации АРТвыделяет круг критически важных пользователей и инфраструктуру, включая системы обеспечения безопасности аутентификации, авторизации и учета. После чего крадут учетные данные для доступа к базам данных SQL и с использованием SQL-команды производят сброс учетных данных пользователей и администраторов с RADIUS.
Вооружившись уже действительными учетными записями со взломанного сервера RADIUSи конфигурациями маршрутизаторов, злоумышленники проходят успешную аутентификацию в сети, приступают к настройке маршрутизатора для скрытого перенаправления трафика на подконтрольную инфраструктуру через настраиваемый туннель, обновление таблицы маршрутизации и эеркалирование портов.
Завершив изменения конфигурации, злоумышленники часто модифицировали и/или удаляли локальные файлы журналов, чтобы уничтожить доказательства своей деятельности, чтобы еще больше скрыть свое присутствие и избежать обнаружения.
В своей работе китайские акторы используют набор общих уязвимостей, начиная с 2020 года, среди которых: Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652), Citrix (CVE-2019-19781), D-Link (CVE-2019-16920), Fortinet (CVE-2018-13382), MikroTik (CVE-2018-14847), Netgear (CVE-2017-6862), Pulse (CVE-2019-11510, CVE-2021-22893), QNAP (CVE-2019-7192-7195), Zyxel (CVE-2020-29583) и др.
Этот метод позволил злоумышленникам получать доступ к учетным записям жертв, используя общедоступные PoC, без использования своего собственного отличительного или идентифицирующего вредоносного ПО. Злоумышленники также использовали RouterSploitи RouterScanс открытым исходным кодом для конкретных маршрутизаторов, чтобы определять марки, модели и известные уязвимости для дальнейшей эксплуатации.
По данным спецслужб, такая тактика работы позволила АРТсоздать обширные инфраструктурные сети для совершения более мощных атак на широкий круг целей государственного и частного секторов США.
Абстрагируясь от политической ангажированности подобных заявлений, представленные меры по смягчению последствий и обнаружению будут востребованы вне зависимости от фактуры самого документа. Рекомендуем ознакомиться (здесь (https://www.cisa.gov/uscert/ncas/alerts/aa22-158a)).
___________
9.06.2022
https://t.me/true_secator/3042
https://www.cisa.gov/uscert/ncas/alerts/aa22-158a
Опубликованный бюллетень по кибербезопасности под авторством АНБ, CISA и ФБРбольше напоминает надуманный предлог для очередных неправомерных санкций.
По данным авторов, прокитайские АРТнацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя общеизвестные уязвимости , взломали буквально все: от непропатченных офисных маршрутизаторов до крупных корпоративных сетей, для кражи учетных данных и сбора данных.
Все скомпрометированные незащищенные сетевые устройства хакеры использовали в качестве инфраструктуры для атак, располагая сервера управления и контроля и прокси-системы.
После закрепления внутри телекоммуникационной организации АРТвыделяет круг критически важных пользователей и инфраструктуру, включая системы обеспечения безопасности аутентификации, авторизации и учета. После чего крадут учетные данные для доступа к базам данных SQL и с использованием SQL-команды производят сброс учетных данных пользователей и администраторов с RADIUS.
Вооружившись уже действительными учетными записями со взломанного сервера RADIUSи конфигурациями маршрутизаторов, злоумышленники проходят успешную аутентификацию в сети, приступают к настройке маршрутизатора для скрытого перенаправления трафика на подконтрольную инфраструктуру через настраиваемый туннель, обновление таблицы маршрутизации и эеркалирование портов.
Завершив изменения конфигурации, злоумышленники часто модифицировали и/или удаляли локальные файлы журналов, чтобы уничтожить доказательства своей деятельности, чтобы еще больше скрыть свое присутствие и избежать обнаружения.
В своей работе китайские акторы используют набор общих уязвимостей, начиная с 2020 года, среди которых: Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652), Citrix (CVE-2019-19781), D-Link (CVE-2019-16920), Fortinet (CVE-2018-13382), MikroTik (CVE-2018-14847), Netgear (CVE-2017-6862), Pulse (CVE-2019-11510, CVE-2021-22893), QNAP (CVE-2019-7192-7195), Zyxel (CVE-2020-29583) и др.
Этот метод позволил злоумышленникам получать доступ к учетным записям жертв, используя общедоступные PoC, без использования своего собственного отличительного или идентифицирующего вредоносного ПО. Злоумышленники также использовали RouterSploitи RouterScanс открытым исходным кодом для конкретных маршрутизаторов, чтобы определять марки, модели и известные уязвимости для дальнейшей эксплуатации.
По данным спецслужб, такая тактика работы позволила АРТсоздать обширные инфраструктурные сети для совершения более мощных атак на широкий круг целей государственного и частного секторов США.
Абстрагируясь от политической ангажированности подобных заявлений, представленные меры по смягчению последствий и обнаружению будут востребованы вне зависимости от фактуры самого документа. Рекомендуем ознакомиться (здесь (https://www.cisa.gov/uscert/ncas/alerts/aa22-158a)).
___________
9.06.2022
https://t.me/true_secator/3042
https://www.cisa.gov/uscert/ncas/alerts/aa22-158a