Китайские ATP проникли в телеком США

Американские спецслужбы триадой заявили о варварских проникновениях китайских АРТ в национальный телеком.
Опубликованный бюллетень по кибербезопасности под авторством АНБ, CISA и ФБР больше напоминает надуманный предлог для очередных неправомерных санкций.

По данным авторов, прокитайские АРТ нацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя общеизвестные уязвимости , взломали буквально все: от непропатченных офисных маршрутизаторов до крупных корпоративных сетей, для кражи учетных данных и сбора данных.

Все скомпрометированные незащищенные сетевые устройства хакеры использовали в качестве инфраструктуры для атак, располагая сервера управления и контроля и прокси-системы.

После закрепления внутри телекоммуникационной организации АРТ выделяет круг критически важных пользователей и инфраструктуру, включая системы обеспечения безопасности аутентификации, авторизации и учета. После чего крадут учетные данные для доступа к базам данных SQL и с использованием SQL-команды производят сброс учетных данных пользователей и администраторов с RADIUS.

Вооружившись уже действительными учетными записями со взломанного сервера RADIUS и конфигурациями маршрутизаторов, злоумышленники проходят успешную аутентификацию в сети, приступают к настройке маршрутизатора для скрытого перенаправления трафика на подконтрольную инфраструктуру через настраиваемый туннель, обновление таблицы маршрутизации и эеркалирование портов.

Завершив изменения конфигурации, злоумышленники часто модифицировали и/или удаляли локальные файлы журналов, чтобы уничтожить доказательства своей деятельности, чтобы еще больше скрыть свое присутствие и избежать обнаружения.

В своей работе китайские акторы используют набор общих уязвимостей, начиная с 2020 года, среди которых: Cisco (CVE-2018-0171, CVE-2019-15271, CVE-2019-1652), Citrix (CVE-2019-19781), D-Link (CVE-2019-16920), Fortinet (CVE-2018-13382), MikroTik (CVE-2018-14847), Netgear (CVE-2017-6862), Pulse (CVE-2019-11510, CVE-2021-22893), QNAP (CVE-2019-7192-7195), Zyxel (CVE-2020-29583) и др.

Этот метод позволил злоумышленникам получать доступ к учетным записям жертв, используя общедоступные PoC, без использования своего собственного отличительного или идентифицирующего вредоносного ПО. Злоумышленники также использовали RouterSploit и RouterScan с открытым исходным кодом для конкретных маршрутизаторов, чтобы определять марки, модели и известные уязвимости для дальнейшей эксплуатации.

По данным спецслужб, такая тактика работы позволила АРТ создать обширные инфраструктурные сети для совершения более мощных атак на широкий круг целей государственного и частного секторов США.

Абстрагируясь от политической ангажированности подобных заявлений, представленные меры по смягчению последствий и обнаружению будут востребованы вне зависимости от фактуры самого документа. Рекомендуем ознакомиться (здесь).
___________
9.06.2022
https://t.me/true_secator/3042
https://www.cisa.gov/uscert/ncas/alerts/aa22-158a