Китайские хакеры провели крупную кибератаку на телекоммуникационные компании США

Несколько федеральных агентств США сообщили , что китайские правительственные хакеры взломали крупные телекоммуникационные компании.

По заявлениям АНБ, CISA и ФБР, китайские хакерские группы использовали общеизвестные уязвимости для множественных взломов от неисправленных маршрутизаторов небольших офисов до крупных корпоративных сетей. После компрометации хакеры использовали устройства как часть своей собственной инфраструктуры в качестве серверов управления и контроля, а также прокси-систем, которые киберпреступники могли использовать для проникновения в другие сети.

«После доступа к системе организации киберпреступники определили критически важных пользователей и инфраструктуру, а также системы для обеспечения безопасности аутентификации, авторизации и учета», - указано в отчете .

Затем злоумышленники украли учетные данные для доступа к базам данных SQL и использовали SQL команды для сброса учетных данных пользователей и администраторов с серверов службы удаленной аутентификации пользователей (Remote Authentication Dial-In User Service, RADIUS).

«Используя конфигурации маршрутизатора и учетные данные со взломанного RADIUS сервера, злоумышленники прошли аутентификацию и выполнили команду маршрутизатора, чтобы тайно перехватить и вывести трафик из сети в инфраструктуру, контролируемую хакерами», - добавили специалисты.

Киберпреступники использовали распространенные уязвимости сетевых устройств, которые ранее часто использовались правительственными хакерами Китая, среди них:

• RCE-уязвимости Cisco CVE-2018-0171 , CVE-2019-15271 , CVE-2019-1652 ;
• Обход аутентификации Zyxel CVE-2020-29583 ;
• Уязвимости, позволяющие перехватить контроль над устройствами QNAP CVE-2019-7192, CVE-2019-7194, CVE-2019-7195 .

Федеральные агентства порекомендовали организациям применить следующие меры безопасности:

• установить исправления безопасности;
• отключить ненужные порты и протоколы, чтобы уменьшить поверхность атаки;
• заменить сетевую инфраструктуру с истекшим сроком службы, которая больше не получает обновлений;
• сегментировать сети для блокирования попытки бокового перемещения;
• обеспечить ведение журналов в интернет-сервисах для быстрого обнаружения киберугрозы.