Thread: Китайские хакеры провели крупную кибератаку на телекоммуникационные компании США
View Single Post
  #1  
Old 02-10-2025, 08:51 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Хакеры используют инфраструктуру жертвы для закрепления в системе и перехвата трафика

Несколько федеральных агентств США сообщили , что китайские правительственные хакеры взломали крупные телекоммуникационные компании для кражи учетных данных.
По заявлениям АНБ, CISA и ФБР, китайские хакерские группы использовали общеизвестные уязвимости для множественных взломов от неисправленных маршрутизаторов небольших офисов до крупных корпоративных сетей. После компрометации хакеры использовали устройства как часть своей собственной инфраструктуры в качестве серверов управления и контроля, а также прокси-систем, которые киберпреступники могли использовать для проникновения в другие сети.
«После доступа к системе организации киберпреступники определили критически важных пользователей и инфраструктуру, а также системы для обеспечения безопасности аутентификации, авторизации и учета», - указано в отчете .
Затем злоумышленники украли учетные данные для доступа к базам данных SQL и использовали SQL команды для сброса учетных данных пользователей и администраторов с серверов службы удаленной аутентификации пользователей (Remote Authentication Dial-In User Service, RADIUS).
«Используя конфигурации маршрутизатора и учетные данные со взломанного RADIUS сервера, злоумышленники прошли аутентификацию и выполнили команду маршрутизатора, чтобы тайно перехватить и вывести трафик из сети в инфраструктуру, контролируемую хакерами», - добавили специалисты.
Киберпреступники использовали распространенные уязвимости сетевых устройств, которые ранее часто использовались правительственными хакерами Китая, среди них:
  • RCE-уязвимости Cisco CVE-2018-0171 , CVE-2019-15271 , CVE-2019-1652 ;

  • Обход аутентификации Zyxel CVE-2020-29583 ;

  • Уязвимости, позволяющие перехватить контроль над устройствами QNAP CVE-2019-7192, CVE-2019-7194, CVE-2019-7195 .

Федеральные агентства порекомендовали организациям применить следующие меры безопасности:
  • установить исправления безопасности;

  • отключить ненужные порты и протоколы, чтобы уменьшить поверхность атаки;

  • заменить сетевую инфраструктуру с истекшим сроком службы, которая больше не получает обновлений;

  • сегментировать сети для блокирования попытки бокового перемещения;

  • обеспечить ведение журналов в интернет-сервисах для быстрого обнаружения киберугрозы.