Różności i nowinki technologia

Routery domowe i biurowe są atakowane przez hakerów z Chin, ostrzega Francja

Szczegółowa fotografia routera.

Hakerzy z chińskiego stanu narażają dużą liczbę routerów domowych i biurowych do użytku w rozległym i trwającym ataku na organizacje we Francji, podały władze tego hrabstwa.

Grupa hakerska – znana w kręgach bezpieczeństwa jako APT31, Zirconium, Panda i inne nazwy – historycznie prowadziła kampanie szpiegowskie wymierzone w organizacje rządowe, finansowe, lotnicze i obronne, a także firmy z branży technologicznej, budowlanej, inżynieryjnej, telekomunikacyjnej, medialnej i branży ubezpieczeniowej, powiedziała firma FireEye zajmująca się bezpieczeństwem. APT31 jest również jedną z trzech grup hakerów sponsorowanych przez chiński rząd, które brały udział w niedawnym szale włamań do serwerów Microsoft Exchange, poinformowało w poniedziałek brytyjskie Narodowe Centrum Bezpieczeństwa Cybernetycznego.

Zwiad z ukrycia i wtargnięcie

W środę francuska Narodowa Agencja ds. Bezpieczeństwa Systemów Informatycznych – w skrócie ANSSI – ostrzegła krajowe firmy i organizacje, że grupa stała za masową kampanią ataków, która wykorzystywała zhakowane routery przed przeprowadzeniem rozpoznania i ataków jako środka do zatuszowania włamań.

„ANSSI zajmuje się obecnie dużą kampanią włamań, która ma wpływ na wiele francuskich podmiotów”, ostrzegło doradca ANSSI. „Ataki wciąż trwają i są prowadzone przez zestaw intruzów publicznie określany jako APT31. Z naszych dochodzeń wynika, że ​​cyberprzestępca wykorzystuje sieć skompromitowanych routerów domowych jako operacyjne skrzynki przekaźnikowe w celu wykonywania niewidzialnego rozpoznania, a także ataków”.

Poradnik zawiera wskaźniki włamania, które organizacje mogą wykorzystać do ustalenia, czy zostały zhakowane lub na celowniku kampanii. Wskaźniki obejmują 161 adresów IP, chociaż nie jest do końca jasne, czy należą one do skompromitowanych routerów lub innych typów urządzeń podłączonych do Internetu wykorzystywanych w atakach

ZA wykres wykres krajów hostujących adresy IP, stworzony przez badacza Willa Thomasa z firmy ochroniarskiej Cyjax, pokazuje, że największa koncentracja występuje w Rosji, a następnie w Egipcie, Maroku, Tajlandii i Zjednoczonych Emiratach Arabskich.

Żaden z adresów nie jest hostowany we Francji, w żadnym z krajów Europy Zachodniej ani w krajach należących do sojuszu Five Eyes.

„APT31 zazwyczaj używa routerów pwned w krajach docelowych jako ostatni przeskok, aby uniknąć podejrzeń, ale w tej kampanii, chyba że [French security agency] CERT-FR je pominął, nie robią tego tutaj” – powiedział Thomas w bezpośredniej wiadomości. „Inną trudnością jest to, że niektóre routery prawdopodobnie zostaną również zagrożone przez innych atakujących w przeszłości lub w tym samym czasie”.

Routery na celowniku

Na Twitterze podał analityk zagrożeń firmy Microsoft, Ben Koehl dodatkowy kontekst for Zirconium — nazwa producenta oprogramowania dla APT31.

On napisał:

Wydaje się, że ZIRCONIUM obsługuje wiele sieci routerów, aby ułatwić te działania. Są ułożone warstwami i strategicznie używane. Jeśli badasz te adresy IP, powinny one być używane głównie jako źródłowe adresy IP, ale czasami kierują ruch implantów do sieci.

Historycznie zrobili klasyczne podejście dnsname -> ip do komunikacji C2. Od tego czasu przenieśli ten ruch do sieci routera. Pozwala im to na elastyczność w manipulowaniu celem ruchu na kilku warstwach, jednocześnie spowalniając wysiłki pościgowych elementów.

Z drugiej strony są w stanie wydostać się z krajów swoich celów, aby _nieco_ ominąć podstawowe techniki wykrywania.

Hakerzy od lat używają zhakowanych routerów domowych i małych biur do użytku w botnetach, które przeprowadzają paraliżujące ataki typu „odmowa usługi”, przekierowują użytkowników do złośliwych witryn i działają jako serwery proxy do przeprowadzania ataków typu brute-force, wykorzystywania luk w zabezpieczeniach, skanowania portów i eksfiltracji dane z zaatakowanych celów. W 2018 r. badacze z zespołu ds. bezpieczeństwa Cisco Talos odkryli VPNFilter, złośliwe oprogramowanie powiązane z hakerami państwowymi w Rosji, które zainfekowało ponad 500 000 routerów do wykorzystania w wielu nikczemnych celach. W tym samym roku badacze z Akamai szczegółowo opisali exploity routera, które wykorzystywały technikę o nazwie UPnProxy.

Osoby, które obawiają się, że ich urządzenia są zagrożone, powinny okresowo uruchamiać ponownie swoje urządzenia, ponieważ większość złośliwego oprogramowania routera nie jest w stanie przetrwać ponownego uruchomienia. Użytkownicy powinni również upewnić się, że administracja zdalna jest wyłączona (chyba że jest to naprawdę potrzebne i zablokowane) oraz że serwery DNS i inne konfiguracje nie zostały złośliwie zmienione. Jak zawsze, dobrym pomysłem jest szybkie instalowanie aktualizacji oprogramowania układowego.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook