Согласно предупреждению Агентства по кибербезопасности и защите инфраструктуры США (CISA), Агентства национальной безопасности (АНБ) и ФБР, злоумышленники нацелились на крупные телекоммуникационные компании и поставщиков сетевых услуг, используя набор эксплойтов для известных уязвимостей в различных маршрутизаторах, VPN и другом сетевом оборудовании, а также сетевых устройствах накопителях (NAS).
Сетевые устройства используются в качестве дополнительных точек доступа для маршрутизации C&C-трафика и являются промежуточными пунктами для осуществления сетевых вторжений в другие организации, говорится в предупреждении, и все это с целью кражи конфиденциальной информации.
“Обычно хакеры осуществляют свои вторжения с помощью доступа к взломанным серверам, называемым точками входа. Атаки проводятся с многочисленных IP-адресов, которые расположены в Китае и привязаны к различным китайским интернет-провайдерам", – отметили федеральные власти. "Злоумышленники обычно арендуют серверы у различных провайдеров. Затем они используют арендованные серверы для создания и использования ящиков электронной почты, размещения C&C-доменов и взаимодействия с сетями жертв. Также хакеры используют точки доступа для маскировки. Группировки отслеживают учетные записи и действия ИБ-специалистов, а затем изменяют текущую кампанию по мере необходимости, чтобы остаться незамеченными".
Специалисты отметили, что злоумышленники часто смешивают свой уникальный набор инструментов с общедоступными инструментами, тем самым скрывая свою деятельность.
Чтобы избежать подобных атак, эксперты рекомендуют пользователям регулярно применять доступные исправления, отключать ненужные порты/протоколы и заменять устаревшую инфраструктуру.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.