Атакующие — лучшие друзья SOHO
📌 Эксплуатация группами, спонсируемыми государством: Спонсируемая Китайской Народной Республикой (КНР) Volt Typhoon group активно компрометирует маршрутизаторы SOHO, используя проблемы ПО, который затем используются в качестве стартовых площадок для дальнейшей компрометации критически важных объектов инфраструктуры США.
📌 Воздействие на критически важную инфраструктуру: Взломанные маршрутизаторы SOHO представляют серьёзную угрозу, поскольку они могут использоваться для распространения внутри сетей и дальнейшего подрыва критически важных секторов инфраструктуры в США, включая связь, энергетику, транспорт и водоснабжение.
📌 ZuoRAT Campaign: Выявлена ZuoRAT кампания с использованием заражённых маршрутизаторов SOHO, где задействован троян, предоставляющий удалённый доступ и позволяющий сохранять незаметное присутствие в целевых сетях и для сбора конфиденциальную информацию.
📌 Формирована ботнета: скомпрометированные маршрутизаторы могут быть задействованы в ботнетах, крупных сетях заражённых устройств, используемых для запуска распределённых атак типа «отказ в обслуживании» (DDoS), кампаний рассылки спама и других вредоносных действий.
📌 Атаки типа «MITM»: использование уязвимости в маршрутизаторах для перехвата данных, проходящих по сети, и манипулирования ими, что приводит к утечке данных, краже личных данных и шпионажу.
TTPs
📌 Вредоносное ПО KV Botnet: Volt Typhoon внедрили вредоносное ПО KV Botnet в устаревшие маршрутизаторы Cisco и NETGEAR SOHO, которые больше не поддерживаются исправлениями безопасности или обновлениями ПО.
📌 Сокрытие источника: совершая действия через маршрутизаторы SOHO, возможно скрывать происхождение действий из КНР, что усложняет обнаружение и атрибуцию атак.
📌 Нацеливание на электронные письма: замечено, что Volt Typhoon нацеливались на электронные письма ключевых сетевых и ИТ-сотрудников, чтобы получить первоначальный доступ к сетям.
📌 Использование мульти прокси-серверов: для C2-инфраструктуры участники используют multi-hop прокси-серверы, обычно состоящие из VPS или маршрутизаторов SOHO.
📌 Методы LOTL: вместо того, чтобы полагаться на вредоносное ПО для выполнения после компрометации, Volt Typhoon использовали встроенные инструменты и процессы в системах, стратегию, известную как LOTL, для закрепления и расширения доступа к сетям жертв.
Воздействие и ответные меры
📌 Нарушение работы критически важной инфраструктуры: Эксплуатация маршрутизаторов представляет значительную угрозу, поскольку потенциально может нарушить работу основных служб, предоставляемых секторами критически важной инфраструктуры.
📌 Федеральный ответ: ФБР и Министерство юстиции провели операции по нарушению работы ботнета KV путем удаленного удаления вредоносного ПО с заражённых маршрутизаторов и принятия мер по разрыву их соединения с ботнетом.
📌 Компромиссный ответ: Volt Typhoon продемонстрировал сложность защиты от госкампаний кибершпионажа и решающую роль сотрудничества между правительством, частным сектором и международными партнёрами. Подчёркивалась необходимость комплексных стратегий кибербезопасности, которые включают защиту устройств, обмен информацией об угрозах и информирование общественности. Поскольку киберугрозы продолжают развиваться, необходимы и коллективные усилия по защите критически важной инфраструктуры и поддержанию целостности глобальных сетей.
📌 Государственно-частное партнёрство: Компромиссные меры в ответ на Volt Typhoon предполагали тесное сотрудничество между правительственными учреждениями, включая ФБР и CISA, и организациями частного сектора. Это партнёрство способствовало обмену информацией об угрозах, техническими индикаторами компрометации (IoC) и передовыми практиками по смягчению последствий.
📌 Анализ прошивки и исправление: Производители затронутых маршрутизаторов SOHO были предупреждены об уязвимостях, используемых участниками Volt Typhoon. Были предприняты усилия по анализу вредоносного ПО, пониманию методов эксплуатации и разработке исправлений для устранения уязвимостей.
📌 Меры по смягчению последствий: ФБР уведомляет владельцев или операторов маршрутизаторов SOHO, доступ к которым был получен во время операции «по демонтажу». Меры по смягчению последствий, санкционированные судом, носят временный характер, и перезапуск маршрутизатора без надлежащего смягчения последствий сделает устройство уязвимым для повторного заражения.
Общественный и потребительский спрос на безопасность
В современную цифровую эпоху безопасность сетевых устройств стала первостепенной заботой как для населения, так и для бизнеса. Такая повышенная осведомлённость обусловлена растущим числом громких кибератак и утечек данных, которые подчеркнули уязвимости, присущие подключённым устройствам. В результате растёт спрос со стороны потребителей и общественности на то, чтобы производители уделяли приоритетное внимание безопасности в своих продуктах.
Факторы, определяющие спрос
📌 Повышение осведомлённости о киберугрозах: Широкая общественность и предприятия становятся все более осведомлёнными о рисках, связанных с киберугрозами, включая потенциальные финансовые потери, нарушения конфиденциальности и сбои в работе сервисов.
📌 Давление со стороны регулирующих органов: Правительства и регулирующие органы по всему миру внедряют более строгие правила и стандарты кибербезопасности, вынуждая производителей улучшать функции безопасности своих продуктов.
📌 Экономические последствия кибератак: Экономические последствия кибератак, включая стоимость восстановления и влияние на репутацию бренда, сделали безопасность критически важным фактором для покупателей при выборе продуктов.
📌 Взаимосвязанность устройств: Распространение устройств Интернета вещей и взаимосвязанность цифровых экосистем усилили потенциальное воздействие взломанных устройств, сделав безопасность приоритетом для обеспечения целостности личных и корпоративных данных.
Ожидания клиентов
📌 Встроенные функции безопасности: теперь клиенты ожидают, что устройства будут поставляться с надёжными встроенными функциями безопасности, которые защищают от широкого спектра угроз, не требуя обширных технических знаний для настройки.
📌 Регулярные обновления системы безопасности: ожидается, что производители будут предоставлять регулярные и своевременные обновления системы безопасности для устранения новых уязвимостей по мере их обнаружения.
📌 Прозрачность: Клиенты требуют от производителей прозрачности в отношении безопасности их продуктов, включая чёткую информацию об известных уязвимостях и шагах, предпринимаемых для их устранения.
📌 Простота использования: Клиенты, требующие высокого уровня безопасности, также ожидают, что эти функции будут удобными для пользователя и не повлияют на функциональность или производительность устройства.
Ответственность производителей (Security by design)
📌 Автоматические обновления: Реализация механизмов автоматического обновления встроенного программного обеспечения для обеспечения того, чтобы на маршрутизаторах всегда работала последняя версия с самыми последними исправлениями безопасности. Это снижает зависимость от ручного обновления устройств.
📌 Цифровая подпись: Обеспечение цифровой подписи обновлений для проверки их подлинности и целостности. Это предотвращает установку вредоносных обновлений встроенного ПО, которые могут скомпрометировать маршрутизатор.
📌 Безопасный веб-интерфейс управления: Размещение веб-интерфейса управления на портах локальной сети и повышение его безопасности для обеспечения безопасного использования при доступе через Интернет. Это включает в себя внедрение надёжных механизмов аутентификации и шифрования.
📌 Контроль доступа: Ограничение доступа к веб-интерфейсу управления маршрутизатором со стороны локальной сети по умолчанию и предоставление опций для безопасного включения удалённого управления при необходимости.
📌 Надёжные пароли по умолчанию: Поставка маршрутизаторов с надёжными уникальными паролями по умолчанию для предотвращения несанкционированного доступа. Рекомендуется пользователям менять эти пароли во время первоначальной настройки.
📌 Шифрование: Использование шифрования для веб-интерфейса управления для защиты связи между маршрутизатором и пользователем.
📌 Аутентификация: Реализация механизмов надёжной аутентификации, включая возможность многофакторной аутентификации, для обеспечения доступа к интерфейсу управления маршрутизатором
📌 Безопасные настройки по умолчанию: маршрутизаторы по умолчанию поставляются с безопасными конфигурациями, такими как надёжные уникальные пароли, и отключены ненужные службы. Пользователей следует предостеречь от небезопасных конфигураций, если они решат переопределить значения по умолчанию.
📌 Раскрытие уязвимостей и исправление: Разработка четкой, ответственной политики раскрытия уязвимостей и своевременное предоставление исправлений. Это включает в себя участие в программе CVE по отслеживанию и раскрытию уязвимостей.
📌 Поддержка по окончании срока службы: Решающее значение имеет чёткое информирование о политике по окончании срока службы (EOL) для продуктов и предоставление поддержки и обновлений на протяжении всего жизненного цикла продукта. Для устройств, которые больше не поддерживаются, производителям следует предоставить рекомендации по безопасной утилизации или замене.