logo Хроники кибер-безопасника

Атакующие — лучшие друзья SOHO

📌 Эксплуатация ‎группами,‏ ‎спонсируемыми ‎государством: ‎Спонсируемая ‎Китайской ‎Народной‏ ‎Республикой ‎(КНР)‏ ‎Volt‏ ‎Typhoon ‎group ‎активно‏ ‎компрометирует ‎маршрутизаторы‏ ‎SOHO, ‎используя ‎проблемы ‎ПО,‏ ‎который‏ ‎затем ‎используются‏ ‎в ‎качестве‏ ‎стартовых ‎площадок ‎для ‎дальнейшей ‎компрометации‏ ‎критически‏ ‎важных ‎объектов‏ ‎инфраструктуры ‎США.

📌 Воздействие‏ ‎на ‎критически ‎важную ‎инфраструктуру: ‎Взломанные‏ ‎маршрутизаторы‏ ‎SOHO‏ ‎представляют ‎серьёзную‏ ‎угрозу, ‎поскольку‏ ‎они ‎могут‏ ‎использоваться‏ ‎для ‎распространения‏ ‎внутри ‎сетей ‎и ‎дальнейшего ‎подрыва‏ ‎критически ‎важных‏ ‎секторов‏ ‎инфраструктуры ‎в ‎США,‏ ‎включая ‎связь,‏ ‎энергетику, ‎транспорт ‎и ‎водоснабжение.

📌 ZuoRAT‏ ‎Campaign:‏ ‎Выявлена ‎ZuoRAT‏ ‎кампания ‎с‏ ‎использованием ‎заражённых ‎маршрутизаторов ‎SOHO, ‎где‏ ‎задействован‏ ‎троян, ‎предоставляющий‏ ‎удалённый ‎доступ‏ ‎и ‎позволяющий ‎сохранять ‎незаметное ‎присутствие‏ ‎в‏ ‎целевых‏ ‎сетях ‎и‏ ‎для ‎сбора‏ ‎конфиденциальную ‎информацию.

📌 Формирована‏ ‎ботнета:‏ ‎скомпрометированные ‎маршрутизаторы‏ ‎могут ‎быть ‎задействованы ‎в ‎ботнетах,‏ ‎крупных ‎сетях‏ ‎заражённых‏ ‎устройств, ‎используемых ‎для‏ ‎запуска ‎распределённых‏ ‎атак ‎типа ‎«отказ ‎в‏ ‎обслуживании»‏ ‎(DDoS), ‎кампаний‏ ‎рассылки ‎спама‏ ‎и ‎других ‎вредоносных ‎действий.

📌 Атаки ‎типа‏ ‎«MITM»: использование‏ ‎уязвимости ‎в‏ ‎маршрутизаторах ‎для‏ ‎перехвата ‎данных, ‎проходящих ‎по ‎сети,‏ ‎и‏ ‎манипулирования‏ ‎ими, ‎что‏ ‎приводит ‎к‏ ‎утечке ‎данных,‏ ‎краже‏ ‎личных ‎данных‏ ‎и ‎шпионажу.

TTPs

📌 Вредоносное ‎ПО ‎KV ‎Botnet:‏ ‎Volt ‎Typhoon‏ ‎внедрили‏ ‎вредоносное ‎ПО ‎KV‏ ‎Botnet ‎в‏ ‎устаревшие ‎маршрутизаторы ‎Cisco ‎и‏ ‎NETGEAR‏ ‎SOHO, ‎которые‏ ‎больше ‎не‏ ‎поддерживаются ‎исправлениями ‎безопасности ‎или ‎обновлениями‏ ‎ПО.

📌 Сокрытие‏ ‎источника: ‎совершая‏ ‎действия ‎через‏ ‎маршрутизаторы ‎SOHO, ‎возможно ‎скрывать ‎происхождение‏ ‎действий‏ ‎из‏ ‎КНР, ‎что‏ ‎усложняет ‎обнаружение‏ ‎и ‎атрибуцию‏ ‎атак.

📌 Нацеливание‏ ‎на ‎электронные‏ ‎письма: замечено, ‎что ‎Volt ‎Typhoon ‎нацеливались‏ ‎на ‎электронные‏ ‎письма‏ ‎ключевых ‎сетевых ‎и‏ ‎ИТ-сотрудников, ‎чтобы‏ ‎получить ‎первоначальный ‎доступ ‎к‏ ‎сетям.

📌 Использование‏ ‎мульти ‎прокси-серверов:‏ ‎для ‎C2-инфраструктуры‏ ‎участники ‎используют ‎multi-hop ‎прокси-серверы, ‎обычно‏ ‎состоящие‏ ‎из ‎VPS‏ ‎или ‎маршрутизаторов‏ ‎SOHO.

📌 Методы ‎LOTL: ‎вместо ‎того, ‎чтобы‏ ‎полагаться‏ ‎на‏ ‎вредоносное ‎ПО‏ ‎для ‎выполнения‏ ‎после ‎компрометации,‏ ‎Volt‏ ‎Typhoon ‎использовали‏ ‎встроенные ‎инструменты ‎и ‎процессы ‎в‏ ‎системах, ‎стратегию,‏ ‎известную‏ ‎как ‎LOTL, ‎для‏ ‎закрепления ‎и‏ ‎расширения ‎доступа ‎к ‎сетям‏ ‎жертв.

Воздействие‏ ‎и ‎ответные‏ ‎меры

📌 Нарушение ‎работы‏ ‎критически ‎важной ‎инфраструктуры: ‎Эксплуатация ‎маршрутизаторов‏ ‎представляет‏ ‎значительную ‎угрозу,‏ ‎поскольку ‎потенциально‏ ‎может ‎нарушить ‎работу ‎основных ‎служб,‏ ‎предоставляемых‏ ‎секторами‏ ‎критически ‎важной‏ ‎инфраструктуры.

📌 Федеральный ‎ответ: ФБР‏ ‎и ‎Министерство‏ ‎юстиции‏ ‎провели ‎операции‏ ‎по ‎нарушению ‎работы ‎ботнета ‎KV‏ ‎путем ‎удаленного‏ ‎удаления‏ ‎вредоносного ‎ПО ‎с‏ ‎заражённых ‎маршрутизаторов‏ ‎и ‎принятия ‎мер ‎по‏ ‎разрыву‏ ‎их ‎соединения‏ ‎с ‎ботнетом.

📌 Компромиссный‏ ‎ответ: ‎Volt ‎Typhoon ‎продемонстрировал ‎сложность‏ ‎защиты‏ ‎от ‎госкампаний‏ ‎кибершпионажа ‎и‏ ‎решающую ‎роль ‎сотрудничества ‎между ‎правительством,‏ ‎частным‏ ‎сектором‏ ‎и ‎международными‏ ‎партнёрами. ‎Подчёркивалась‏ ‎необходимость ‎комплексных‏ ‎стратегий‏ ‎кибербезопасности, ‎которые‏ ‎включают ‎защиту ‎устройств, ‎обмен ‎информацией‏ ‎об ‎угрозах‏ ‎и‏ ‎информирование ‎общественности. ‎Поскольку‏ ‎киберугрозы ‎продолжают‏ ‎развиваться, ‎необходимы ‎и ‎коллективные‏ ‎усилия‏ ‎по ‎защите‏ ‎критически ‎важной‏ ‎инфраструктуры ‎и ‎поддержанию ‎целостности ‎глобальных‏ ‎сетей.

📌 Государственно-частное‏ ‎партнёрство: Компромиссные ‎меры‏ ‎в ‎ответ‏ ‎на ‎Volt ‎Typhoon ‎предполагали ‎тесное‏ ‎сотрудничество‏ ‎между‏ ‎правительственными ‎учреждениями,‏ ‎включая ‎ФБР‏ ‎и ‎CISA,‏ ‎и‏ ‎организациями ‎частного‏ ‎сектора. ‎Это ‎партнёрство ‎способствовало ‎обмену‏ ‎информацией ‎об‏ ‎угрозах,‏ ‎техническими ‎индикаторами ‎компрометации‏ ‎(IoC) ‎и‏ ‎передовыми ‎практиками ‎по ‎смягчению‏ ‎последствий.

📌 Анализ‏ ‎прошивки ‎и‏ ‎исправление: ‎Производители‏ ‎затронутых ‎маршрутизаторов ‎SOHO ‎были ‎предупреждены‏ ‎об‏ ‎уязвимостях, ‎используемых‏ ‎участниками ‎Volt‏ ‎Typhoon. ‎Были ‎предприняты ‎усилия ‎по‏ ‎анализу‏ ‎вредоносного‏ ‎ПО, ‎пониманию‏ ‎методов ‎эксплуатации‏ ‎и ‎разработке‏ ‎исправлений‏ ‎для ‎устранения‏ ‎уязвимостей.

📌 Меры ‎по ‎смягчению ‎последствий: ‎ФБР‏ ‎уведомляет ‎владельцев‏ ‎или‏ ‎операторов ‎маршрутизаторов ‎SOHO,‏ ‎доступ ‎к‏ ‎которым ‎был ‎получен ‎во‏ ‎время‏ ‎операции ‎«по‏ ‎демонтажу». ‎Меры‏ ‎по ‎смягчению ‎последствий, ‎санкционированные ‎судом,‏ ‎носят‏ ‎временный ‎характер,‏ ‎и ‎перезапуск‏ ‎маршрутизатора ‎без ‎надлежащего ‎смягчения ‎последствий‏ ‎сделает‏ ‎устройство‏ ‎уязвимым ‎для‏ ‎повторного ‎заражения.

Общественный‏ ‎и ‎потребительский‏ ‎спрос‏ ‎на ‎безопасность

В‏ ‎современную ‎цифровую ‎эпоху ‎безопасность ‎сетевых‏ ‎устройств ‎стала‏ ‎первостепенной‏ ‎заботой ‎как ‎для‏ ‎населения, ‎так‏ ‎и ‎для ‎бизнеса. ‎Такая‏ ‎повышенная‏ ‎осведомлённость ‎обусловлена‏ ‎растущим ‎числом‏ ‎громких ‎кибератак ‎и ‎утечек ‎данных,‏ ‎которые‏ ‎подчеркнули ‎уязвимости,‏ ‎присущие ‎подключённым‏ ‎устройствам. ‎В ‎результате ‎растёт ‎спрос‏ ‎со‏ ‎стороны‏ ‎потребителей ‎и‏ ‎общественности ‎на‏ ‎то, ‎чтобы‏ ‎производители‏ ‎уделяли ‎приоритетное‏ ‎внимание ‎безопасности ‎в ‎своих ‎продуктах.

Факторы,‏ ‎определяющие ‎спрос

📌 Повышение‏ ‎осведомлённости‏ ‎о ‎киберугрозах: ‎Широкая‏ ‎общественность ‎и‏ ‎предприятия ‎становятся ‎все ‎более‏ ‎осведомлёнными‏ ‎о ‎рисках,‏ ‎связанных ‎с‏ ‎киберугрозами, ‎включая ‎потенциальные ‎финансовые ‎потери,‏ ‎нарушения‏ ‎конфиденциальности ‎и‏ ‎сбои ‎в‏ ‎работе ‎сервисов.

📌 Давление ‎со ‎стороны ‎регулирующих‏ ‎органов:‏ ‎Правительства‏ ‎и ‎регулирующие‏ ‎органы ‎по‏ ‎всему ‎миру‏ ‎внедряют‏ ‎более ‎строгие‏ ‎правила ‎и ‎стандарты ‎кибербезопасности, ‎вынуждая‏ ‎производителей ‎улучшать‏ ‎функции‏ ‎безопасности ‎своих ‎продуктов.

📌 Экономические‏ ‎последствия ‎кибератак: Экономические‏ ‎последствия ‎кибератак, ‎включая ‎стоимость‏ ‎восстановления‏ ‎и ‎влияние‏ ‎на ‎репутацию‏ ‎бренда, ‎сделали ‎безопасность ‎критически ‎важным‏ ‎фактором‏ ‎для ‎покупателей‏ ‎при ‎выборе‏ ‎продуктов.

📌 Взаимосвязанность ‎устройств: Распространение ‎устройств ‎Интернета ‎вещей‏ ‎и‏ ‎взаимосвязанность‏ ‎цифровых ‎экосистем‏ ‎усилили ‎потенциальное‏ ‎воздействие ‎взломанных‏ ‎устройств,‏ ‎сделав ‎безопасность‏ ‎приоритетом ‎для ‎обеспечения ‎целостности ‎личных‏ ‎и ‎корпоративных‏ ‎данных.

Ожидания‏ ‎клиентов

📌 Встроенные ‎функции ‎безопасности:‏ ‎теперь ‎клиенты‏ ‎ожидают, ‎что ‎устройства ‎будут‏ ‎поставляться‏ ‎с ‎надёжными‏ ‎встроенными ‎функциями‏ ‎безопасности, ‎которые ‎защищают ‎от ‎широкого‏ ‎спектра‏ ‎угроз, ‎не‏ ‎требуя ‎обширных‏ ‎технических ‎знаний ‎для ‎настройки.

📌 Регулярные ‎обновления‏ ‎системы‏ ‎безопасности:‏ ‎ожидается, ‎что‏ ‎производители ‎будут‏ ‎предоставлять ‎регулярные‏ ‎и‏ ‎своевременные ‎обновления‏ ‎системы ‎безопасности ‎для ‎устранения ‎новых‏ ‎уязвимостей ‎по‏ ‎мере‏ ‎их ‎обнаружения.

📌 Прозрачность: ‎Клиенты‏ ‎требуют ‎от‏ ‎производителей ‎прозрачности ‎в ‎отношении‏ ‎безопасности‏ ‎их ‎продуктов,‏ ‎включая ‎чёткую‏ ‎информацию ‎об ‎известных ‎уязвимостях ‎и‏ ‎шагах,‏ ‎предпринимаемых ‎для‏ ‎их ‎устранения.

📌 Простота‏ ‎использования: ‎Клиенты, ‎требующие ‎высокого ‎уровня‏ ‎безопасности,‏ ‎также‏ ‎ожидают, ‎что‏ ‎эти ‎функции‏ ‎будут ‎удобными‏ ‎для‏ ‎пользователя ‎и‏ ‎не ‎повлияют ‎на ‎функциональность ‎или‏ ‎производительность ‎устройства.

Ответственность‏ ‎производителей‏ ‎(Security ‎by ‎design)

📌 Автоматические‏ ‎обновления: ‎Реализация‏ ‎механизмов ‎автоматического ‎обновления ‎встроенного‏ ‎программного‏ ‎обеспечения ‎для‏ ‎обеспечения ‎того,‏ ‎чтобы ‎на ‎маршрутизаторах ‎всегда ‎работала‏ ‎последняя‏ ‎версия ‎с‏ ‎самыми ‎последними‏ ‎исправлениями ‎безопасности. ‎Это ‎снижает ‎зависимость‏ ‎от‏ ‎ручного‏ ‎обновления ‎устройств.

📌 Цифровая‏ ‎подпись: Обеспечение ‎цифровой‏ ‎подписи ‎обновлений‏ ‎для‏ ‎проверки ‎их‏ ‎подлинности ‎и ‎целостности. ‎Это ‎предотвращает‏ ‎установку ‎вредоносных‏ ‎обновлений‏ ‎встроенного ‎ПО, ‎которые‏ ‎могут ‎скомпрометировать‏ ‎маршрутизатор.

📌 Безопасный ‎веб-интерфейс ‎управления: Размещение ‎веб-интерфейса‏ ‎управления‏ ‎на ‎портах‏ ‎локальной ‎сети‏ ‎и ‎повышение ‎его ‎безопасности ‎для‏ ‎обеспечения‏ ‎безопасного ‎использования‏ ‎при ‎доступе‏ ‎через ‎Интернет. ‎Это ‎включает ‎в‏ ‎себя‏ ‎внедрение‏ ‎надёжных ‎механизмов‏ ‎аутентификации ‎и‏ ‎шифрования.

📌 Контроль ‎доступа: Ограничение‏ ‎доступа‏ ‎к ‎веб-интерфейсу‏ ‎управления ‎маршрутизатором ‎со ‎стороны ‎локальной‏ ‎сети ‎по‏ ‎умолчанию‏ ‎и ‎предоставление ‎опций‏ ‎для ‎безопасного‏ ‎включения ‎удалённого ‎управления ‎при‏ ‎необходимости.

📌 Надёжные‏ ‎пароли ‎по‏ ‎умолчанию: ‎Поставка‏ ‎маршрутизаторов ‎с ‎надёжными ‎уникальными ‎паролями‏ ‎по‏ ‎умолчанию ‎для‏ ‎предотвращения ‎несанкционированного‏ ‎доступа. ‎Рекомендуется ‎пользователям ‎менять ‎эти‏ ‎пароли‏ ‎во‏ ‎время ‎первоначальной‏ ‎настройки.

📌 Шифрование: ‎Использование‏ ‎шифрования ‎для‏ ‎веб-интерфейса‏ ‎управления ‎для‏ ‎защиты ‎связи ‎между ‎маршрутизатором ‎и‏ ‎пользователем.

📌 Аутентификация: ‎Реализация‏ ‎механизмов‏ ‎надёжной ‎аутентификации, ‎включая‏ ‎возможность ‎многофакторной‏ ‎аутентификации, ‎для ‎обеспечения ‎доступа‏ ‎к‏ ‎интерфейсу ‎управления‏ ‎маршрутизатором

📌 Безопасные ‎настройки‏ ‎по ‎умолчанию: ‎маршрутизаторы ‎по ‎умолчанию‏ ‎поставляются‏ ‎с ‎безопасными‏ ‎конфигурациями, ‎такими‏ ‎как ‎надёжные ‎уникальные ‎пароли, ‎и‏ ‎отключены‏ ‎ненужные‏ ‎службы. ‎Пользователей‏ ‎следует ‎предостеречь‏ ‎от ‎небезопасных‏ ‎конфигураций,‏ ‎если ‎они‏ ‎решат ‎переопределить ‎значения ‎по ‎умолчанию.

📌 Раскрытие‏ ‎уязвимостей ‎и‏ ‎исправление: Разработка‏ ‎четкой, ‎ответственной ‎политики‏ ‎раскрытия ‎уязвимостей‏ ‎и ‎своевременное ‎предоставление ‎исправлений.‏ ‎Это‏ ‎включает ‎в‏ ‎себя ‎участие‏ ‎в ‎программе ‎CVE ‎по ‎отслеживанию‏ ‎и‏ ‎раскрытию ‎уязвимостей.

📌 Поддержка‏ ‎по ‎окончании‏ ‎срока ‎службы: ‎Решающее ‎значение ‎имеет‏ ‎чёткое‏ ‎информирование‏ ‎о ‎политике‏ ‎по ‎окончании‏ ‎срока ‎службы‏ ‎(EOL)‏ ‎для ‎продуктов‏ ‎и ‎предоставление ‎поддержки ‎и ‎обновлений‏ ‎на ‎протяжении‏ ‎всего‏ ‎жизненного ‎цикла ‎продукта.‏ ‎Для ‎устройств,‏ ‎которые ‎больше ‎не ‎поддерживаются,‏ ‎производителям‏ ‎следует ‎предоставить‏ ‎рекомендации ‎по‏ ‎безопасной ‎утилизации ‎или ‎замене.


Предыдущий Следующий
Все посты проекта

Подарить подписку

Будет создан код, который позволит адресату получить бесплатный для него доступ на определённый уровень подписки.

Оплата за этого пользователя будет списываться с вашей карты вплоть до отмены подписки. Код может быть показан на экране или отправлен по почте вместе с инструкцией.

Будет создан код, который позволит адресату получить сумму на баланс.

Разово будет списана указанная сумма и зачислена на баланс пользователя, воспользовавшегося данным промокодом.

Добавить карту
0/2048