Bugün birkaç ABD federal ajansı, Çin destekli tehdit aktörlerinin, büyük telekomünikasyon şirketlerini ve ağ servis sağlayıcılarını kimlik bilgilerini çalmak ve hasat verilerini hedeflediğini ve tehlikeye attığını ortaya koydu.
NSA, CISA ve FBI'ın Salı günü yayınlanan ortak bir siber güvenlik danışmanında söylediği gibi, Çin hackleme grupları, küçük ofis/ev ofisi (SOHO) yönlendiricilerinden orta ve hatta büyük işletme ağlarına kadar her şeyi ihlal etmek için halka açık güvenlik açıklarından yararlandı.
Tehdit aktörleri tehlikeye girdikten sonra, cihazları kendi saldırı altyapısının bir parçası olarak daha fazla ağı ihlal etmek için kullanabilecekleri komut ve kontrol sunucuları ve proxy sistemleri olarak kullandılar.
Danışma, "Bir telekomünikasyon kuruluşuna veya ağ hizmet sağlayıcısına ilk bir dayanak kazandıktan sonra, PRC durum destekli siber aktörler, kimlik doğrulama, yetkilendirme ve muhasebe güvenliğini korumak için kritik sistemler dahil kritik kullanıcıları ve altyapı belirlediler."
Saldırganlar daha sonra temel SQL veritabanlarına erişmek için kimlik bilgilerini çaldı ve kritik uzaktan kimlik doğrulama arama kullanıcı hizmeti (RADIUS) sunucularından kullanıcı ve yönetici kimlik bilgilerini dökmek için SQL komutlarını kullandı.
"Meydan okulu RADIUS sunucusundan ve yönlendirici yapılandırmalarından geçerli hesaplar ve kimlik bilgileri ile donanmış olan siber aktörler, ağa geri döndüler ve erişim ve bilgilerini, trafiği ağdan gizlice yönlendirmek, yakalamak ve yaymak için yönlendirici komutlarını başarılı bir şekilde doğrulamak ve yürütmek için kullandı. Aktör kontrollü altyapıya, "diye ekledi federal ajanslar.
Üç federal ajans, aşağıdaki ortak güvenlik açıklarının ve maruziyetlerinin (CVES), 2020'den beri Çin destekli devlet hackerları tarafından en sık sömürülen ağ cihazı CVES olduğunu söyledi.
NSA, "PRC, siber kampanyalarda kendi yararlarına kullanmak için 2020'den beri belirli tekniklerden ve ortak güvenlik açıklarından yararlanıyor."
Bu güvenlik açıklarından yararlanarak, Çin destekli tehdit aktörleri, daha geniş bir kamu ve özel sektör hedefini daha da tehlikeye atmalarına yardımcı olan geniş altyapı ağları kurdular. NSA, CISA ve FBI ayrıca bizi ve müttefik hükümetleri, kritik altyapı ve özel endüstri kuruluşlarını, benzer saldırıların ağlarını ihlal etme riskini azaltmaya yardımcı olacak bir azaltma önlemleri listesini uygulamaya çağırıyor.
Federal ajanslar, kuruluşlara en kısa sürede güvenlik yamaları uygulamalarını, saldırı yüzeylerini küçültmek için gereksiz bağlantı noktalarını ve protokolleri devre dışı bırakmalarını ve artık güvenlik yamaları almayan ömrü sonu ağ altyapısını değiştirmelerini tavsiye eder.
Ayrıca, yanal hareket girişimlerini engellemek için ağların bölümlendirilmesini ve saldırı denemelerini en kısa sürede tespit etmek için internete maruz kalan hizmetlerde sağlam günlüğe kaydedilmesini sağlamayı önerirler.
Bu ortak danışma, Çin devlet destekli bilgisayar korsanları (2021'de) ve saldırılarında (2020'de) kullanılan halka açık güvenlik açıkları tarafından kullanılan taktikler, teknikler ve prosedürler (TTP) hakkında bilgi paylaşan iki kişiden sonra gelir.
Siber güvenlik ajansları en iyi ilk erişim saldırısı vektörlerini ortaya çıkarır
Siber güvenlik ajansları 2021'in en çok sömürülen güvenlik açıklarını ortaya çıkarıyor
ABD, endüstriyel kontrol sistemlerini hedefleyen Govt bilgisayar korsanları konusunda uyarıyor
ABD Hükümeti: Karakurt gasp fidye ödemek veri sızıntılarını durdurmayacak
FBI, CISA ve NSA, bilgisayar korsanları MSP'leri giderek daha fazla hedefleyen uyardı
Kaynak: Bleeping Computer