Атакующие — лучшие друзья SOHO

📌 Эксплуатация группами, спонсируемыми государством: Спонсируемая Китайской Народной Республикой (КНР) Volt Typhoon group активно компрометирует маршрутизаторы SOHO, используя проблемы ПО, который затем используются в качестве стартовых площадок для дальнейшей компрометации критически важных объектов инфраструктуры США.

📌 Воздействие на критически важную инфраструктуру: Взломанные маршрутизаторы SOHO представляют серьёзную угрозу, поскольку они могут использоваться для распространения внутри сетей и дальнейшего подрыва критически важных секторов инфраструктуры в США, включая связь, энергетику, транспорт и водоснабжение.

📌 ZuoRAT Campaign: Выявлена ZuoRAT кампания с использованием заражённых маршрутизаторов SOHO, где задействован троян, предоставляющий удалённый доступ и позволяющий сохранять незаметное присутствие в целевых сетях и для сбора конфиденциальную информацию.

📌 Формирована ботнета: скомпрометированные маршрутизаторы могут быть задействованы в ботнетах, крупных сетях заражённых устройств, используемых для запуска распределённых атак типа «отказ в обслуживании» (DDoS), кампаний рассылки спама и других вредоносных действий.

📌 Атаки типа «MITM»: использование уязвимости в маршрутизаторах для перехвата данных, проходящих по сети, и манипулирования ими, что приводит к утечке данных, краже личных данных и шпионажу.

TTPs

📌 Вредоносное ПО KV Botnet: Volt Typhoon внедрили вредоносное ПО KV Botnet в устаревшие маршрутизаторы Cisco и NETGEAR SOHO, которые больше не поддерживаются исправлениями безопасности или обновлениями ПО.

📌 Сокрытие источника: совершая действия через маршрутизаторы SOHO, возможно скрывать происхождение действий из КНР, что усложняет обнаружение и атрибуцию атак.

📌 Нацеливание на электронные письма: замечено, что Volt Typhoon нацеливались на электронные письма ключевых сетевых и ИТ-сотрудников, чтобы получить первоначальный доступ к сетям.

📌 Использование мульти прокси-серверов: для C2-инфраструктуры участники используют multi-hop прокси-серверы, обычно состоящие из VPS или маршрутизаторов SOHO.

📌 Методы LOTL: вместо того, чтобы полагаться на вредоносное ПО для выполнения после компрометации, Volt Typhoon использовали встроенные инструменты и процессы в системах, стратегию, известную как LOTL, для закрепления и расширения доступа к сетям жертв.

Воздействие и ответные меры

📌 Нарушение работы критически важной инфраструктуры: Эксплуатация маршрутизаторов представляет значительную угрозу, поскольку потенциально может нарушить работу основных служб, предоставляемых секторами критически важной инфраструктуры.

📌 Федеральный ответ: ФБР и Министерство юстиции провели операции по нарушению работы ботнета KV путем удаленного удаления вредоносного ПО с заражённых маршрутизаторов и принятия мер по разрыву их соединения с ботнетом.

📌 Компромиссный ответ: Volt Typhoon продемонстрировал сложность защиты от госкампаний кибершпионажа и решающую роль сотрудничества между правительством, частным сектором и международными партнёрами. Подчёркивалась необходимость комплексных стратегий кибербезопасности, которые включают защиту устройств, обмен информацией об угрозах и информирование общественности. Поскольку киберугрозы продолжают развиваться, необходимы и коллективные усилия по защите критически важной инфраструктуры и поддержанию целостности глобальных сетей.

📌 Государственно-частное партнёрство: Компромиссные меры в ответ на Volt Typhoon предполагали тесное сотрудничество между правительственными учреждениями, включая ФБР и CISA, и организациями частного сектора. Это партнёрство способствовало обмену информацией об угрозах, техническими индикаторами компрометации (IoC) и передовыми практиками по смягчению последствий.

📌 Анализ прошивки и исправление: Производители затронутых маршрутизаторов SOHO были предупреждены об уязвимостях, используемых участниками Volt Typhoon. Были предприняты усилия по анализу вредоносного ПО, пониманию методов эксплуатации и разработке исправлений для устранения уязвимостей.

📌 Меры по смягчению последствий: ФБР уведомляет владельцев или операторов маршрутизаторов SOHO, доступ к которым был получен во время операции «по демонтажу». Меры по смягчению последствий, санкционированные судом, носят временный характер, и перезапуск маршрутизатора без надлежащего смягчения последствий сделает устройство уязвимым для повторного заражения.

Общественный и потребительский спрос на безопасность

В современную цифровую эпоху безопасность сетевых устройств стала первостепенной заботой как для населения, так и для бизнеса. Такая повышенная осведомлённость обусловлена растущим числом громких кибератак и утечек данных, которые подчеркнули уязвимости, присущие подключённым устройствам. В результате растёт спрос со стороны потребителей и общественности на то, чтобы производители уделяли приоритетное внимание безопасности в своих продуктах.

Факторы, определяющие спрос

📌 Повышение осведомлённости о киберугрозах: Широкая общественность и предприятия становятся все более осведомлёнными о рисках, связанных с киберугрозами, включая потенциальные финансовые потери, нарушения конфиденциальности и сбои в работе сервисов.

📌 Давление со стороны регулирующих органов: Правительства и регулирующие органы по всему миру внедряют более строгие правила и стандарты кибербезопасности, вынуждая производителей улучшать функции безопасности своих продуктов.

📌 Экономические последствия кибератак: Экономические последствия кибератак, включая стоимость восстановления и влияние на репутацию бренда, сделали безопасность критически важным фактором для покупателей при выборе продуктов.

📌 Взаимосвязанность устройств: Распространение устройств Интернета вещей и взаимосвязанность цифровых экосистем усилили потенциальное воздействие взломанных устройств, сделав безопасность приоритетом для обеспечения целостности личных и корпоративных данных.

Ожидания клиентов

📌 Встроенные функции безопасности: теперь клиенты ожидают, что устройства будут поставляться с надёжными встроенными функциями безопасности, которые защищают от широкого спектра угроз, не требуя обширных технических знаний для настройки.

📌 Регулярные обновления системы безопасности: ожидается, что производители будут предоставлять регулярные и своевременные обновления системы безопасности для устранения новых уязвимостей по мере их обнаружения.

📌 Прозрачность: Клиенты требуют от производителей прозрачности в отношении безопасности их продуктов, включая чёткую информацию об известных уязвимостях и шагах, предпринимаемых для их устранения.

📌 Простота использования: Клиенты, требующие высокого уровня безопасности, также ожидают, что эти функции будут удобными для пользователя и не повлияют на функциональность или производительность устройства.

Ответственность производителей (Security by design)

📌 Автоматические обновления: Реализация механизмов автоматического обновления встроенного программного обеспечения для обеспечения того, чтобы на маршрутизаторах всегда работала последняя версия с самыми последними исправлениями безопасности. Это снижает зависимость от ручного обновления устройств.

📌 Цифровая подпись: Обеспечение цифровой подписи обновлений для проверки их подлинности и целостности. Это предотвращает установку вредоносных обновлений встроенного ПО, которые могут скомпрометировать маршрутизатор.

📌 Безопасный веб-интерфейс управления: Размещение веб-интерфейса управления на портах локальной сети и повышение его безопасности для обеспечения безопасного использования при доступе через Интернет. Это включает в себя внедрение надёжных механизмов аутентификации и шифрования.

📌 Контроль доступа: Ограничение доступа к веб-интерфейсу управления маршрутизатором со стороны локальной сети по умолчанию и предоставление опций для безопасного включения удалённого управления при необходимости.

📌 Надёжные пароли по умолчанию: Поставка маршрутизаторов с надёжными уникальными паролями по умолчанию для предотвращения несанкционированного доступа. Рекомендуется пользователям менять эти пароли во время первоначальной настройки.

📌 Шифрование: Использование шифрования для веб-интерфейса управления для защиты связи между маршрутизатором и пользователем.

📌 Аутентификация: Реализация механизмов надёжной аутентификации, включая возможность многофакторной аутентификации, для обеспечения доступа к интерфейсу управления маршрутизатором

📌 Безопасные настройки по умолчанию: маршрутизаторы по умолчанию поставляются с безопасными конфигурациями, такими как надёжные уникальные пароли, и отключены ненужные службы. Пользователей следует предостеречь от небезопасных конфигураций, если они решат переопределить значения по умолчанию.

📌 Раскрытие уязвимостей и исправление: Разработка четкой, ответственной политики раскрытия уязвимостей и своевременное предоставление исправлений. Это включает в себя участие в программе CVE по отслеживанию и раскрытию уязвимостей.

📌 Поддержка по окончании срока службы: Решающее значение имеет чёткое информирование о политике по окончании срока службы (EOL) для продуктов и предоставление поддержки и обновлений на протяжении всего жизненного цикла продукта. Для устройств, которые больше не поддерживаются, производителям следует предоставить рекомендации по безопасной утилизации или замене.


Бесплатный
хроникикибербезопасника143
nsa71
заметки61
fbi51
АНБ40
фбр30
разбор26
soho11
Кто попал: пострадавшие от роутеров SOHO отрасли
Последствия: последствия игнорирования безопасности маршрутизаторов SOHO
Все посты проекта