Безопасность превыше всего: CISA призывает ужесточить защиту маршрутизаторов

Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и Федеральное бюро расследований (ФБР) предупредили американские организации о нарастающей угрозе кибератак, нацеленных на маршрутизаторы малого офиса/домашнего офиса (SOHO).

Особое внимание уделяется атакам, координируемым китайской группой хакеров Volt Typhoon (также известной как Bronze Silhouette), которые в последнее время активно пытаются захватить контроль над подобными устройствами в различных американских организациях.

Несмотря на то, что последнюю волну атак удалось успешно отразить , производителям маршрутизаторов было рекомендовано впредь уделять куда больше внимания кибербезопасности сетевых устройств.

В частности, все потенциальные уязвимости веб-интерфейсов управления маршрутизаторов и прочего сетевого оборудования рекомендовано исключать ещё на этапах проектирования и разработки, если это вообще возможно.

Тем не менее, эксперты по безопасности предложили ряд действенных методов. Например, изменить стандартную конфигурацию маршрутизаторов для автоматизации обновлений прошивки, требовать ручного подтверждения при отключении настроек безопасности и ограничить доступ к интерфейсу управления маршрутизатором только с устройств, подключенных по локальной сети.

С одной стороны, это может немного снизить функциональность и возможные сценарии использования маршрутизаторов, но с другой, исключит большинство, если не все, угрозы безопасности извне.

Дешёвые маршрутизаторы очень популярны как в небольших организациях, так и в домашнем использовании многих американцев. Возможность доступа к ним через Интернет делает такие устройства уязвимыми для захвата в ботнет-армии злоумышленников и дальнейшего использования для организации DDoS-атак, в том числе направленных на критическую инфраструктуру страны.

Особое внимание CISA уделила активности группы Volt Typhoon, связанной с китайскими кибершпионами и с августа 2022 года нацеленной на SOHO-маршрутизаторы, используя вредонос «KV-botnet».

В июне 2023 года правительственное консультативное учреждение США оценило, что эта группа работает над созданием инфраструктуры, которую потенциально можно использовать для нарушения связи по всей территории Соединённых Штатов.

В отчёте Microsoft за май прошлого года упоминается , что с середины 2021 года китайские хакеры регулярно атакуют и проникают в критически важные инфраструктурные организации США, включая остров Гуам, на котором расположено несколько американских военных баз.

Volt Typhoon известна атаками на маршрутизаторы, брандмауэры и VPN-устройства, что позволяет хакерам маскировать передачу вредоносного трафика и избегать таким образом обнаружения во время атак. Помимо военных объектов подобные скрытые сети уже не раз поражали американских телекоммуникационных и интернет-провайдеров, а также различные правительственные объекты, включая критическую инфраструктуру.

Как мы уже сообщали ранее , американское правительство уже частично обезвредило инфраструктуру Volt Typhoon, однако ничто не мешает хакерам реорганизовать свою сеть и вернуться позже с куда более массивной и разрушительной атакой.