Австралія, Канада, Нова Зеландія та США оприлюднили спільне попередження про масштабну кампанію кібершпигунства, яку здійснюють пов’язані з Китайською Народною Республікою (КНР) загрози, спрямовані на телекомунікаційні компанії.
“Виявлені випадки експлуатації або компрометації, пов’язані з діяльністю цих зловмисників, відповідають вже відомим слабким місцям інфраструктури жертв; нової активності не спостерігалося”, – зазначили урядові агенції.
Американські чиновники повідомили у вівторок, що зловмисники все ще перебувають у телекомунікаційних мережах США через шість місяців після початку розслідування.
Атаки приписують групі Salt Typhoon, яка також відома як Earth Estries, FamousSparrow, GhostEmperor та UNC2286. Ця група активна щонайменше з 2020 року, хоча деякі її інструменти були розроблені ще у 2019 році.
Минулого тижня T-Mobile підтвердив спроби зловмисників проникнути в їхні системи, але зазначив, що дані клієнтів не постраждали.
Перша інформація про кампанію атак з’явилася наприкінці вересня, коли The Wall Street Journal повідомив, що хакери проникли в кілька телекомунікаційних компаній США з метою отримання конфіденційної інформації. Китай відкинув ці звинувачення.
Рекомендації для захисту
Для протидії цим атакам агентства з кібербезпеки та розвідки надали поради щодо посилення безпеки корпоративних мереж:
- Перевіряти та розслідувати будь-які зміни в налаштуваннях мережевих пристроїв, таких як комутатори, маршрутизатори та брандмауери.
- Реалізувати надійне рішення для моніторингу мережевого трафіку та управління мережею.
- Обмежити доступ управлінського трафіку до інтернету.
- Моніторити аномалії в логах входів користувачів та облікових записів служб.
- Використовувати централізований захищений журнал для аналізу великих обсягів даних із різних джерел.
- Фізично ізолювати управління пристроями від клієнтських та виробничих мереж.
- Впровадити жорстку стратегію списків доступу (ACL) за принципом “заборона за замовчуванням” для контролю вхідного та вихідного трафіку.
- Забезпечити сегментацію мережі через використання ACL маршрутизаторів, інспекцію стану пакетів, функції брандмауера та демілітаризовані зони (DMZ).
- Захистити шлюзи VPN, обмеживши їх зовнішнє використання.
- Шифрувати трафік наскрізно та використовувати TLS 1.3 для захисту даних у транзиті.
- Вимкнути зайві протоколи виявлення, такі як CDP або LLDP, а також експлуатовані сервіси, такі як Telnet, FTP, TFTP, SSH v1, HTTP-сервери та SNMP v1/v2c.
- Вимкнути маршрутизацію вихідних джерел IP.
- Переконатися, що стандартні паролі не використовуються.
- Перевірити цілісність програмного забезпечення за допомогою надійних утиліт хешування.
- Сканувати інфраструктуру, доступну в інтернеті, щоб переконатися у відсутності відкритих сервісів.
- Слідкувати за анонсами про завершення життєвого циклу (EOL) обладнання та програмного забезпечення і оновлювати їх якнайшвидше.
- Зберігати паролі з використанням безпечних алгоритмів хешування.
- Вимагати багатофакторну автентифікацію (MFA), стійку до фішингу, для всіх облікових записів.
- Обмежити тривалість сесійних токенів і вимагати повторної автентифікації після закінчення сесії.
- Реалізувати контроль доступу на основі ролей (RBAC) і періодично переглядати облікові записи на предмет їх актуальності.
“Виправлення вразливих пристроїв і служб, а також загальне забезпечення безпеки середовища зменшить можливості для вторгнення та пом’якшить діяльність зловмисників”, – йдеться у попередженні.
Ескалація напруженості між Китаєм і США
Цей розвиток подій відбувається на тлі загострення торговельної напруженості між Китаєм і США. Пекін заборонив експорт критично важливих мінералів, таких як галій, германій та сурма, у відповідь на санкції США проти китайської напівпровідникової промисловості.
На початку цього тижня Міністерство торгівлі США оголосило нові обмеження, спрямовані на обмеження здатності Китаю виробляти напівпровідники високого класу, які можуть використовуватися у військових цілях, а також на обмеження експорту для 140 компаній.
Китайські виробники чипів, у свою чергу, оголосили про плани локалізувати ланцюги постачання, а галузеві асоціації країни попередили, що американські чипи більше не є “надійними”.
