USA slår alarm over Kinessiske statsstøttede hackere

Der kommer flere dårlige nyheder om hacking og benyttelse af kinessiske produkter såsom Huawei, HIKVision, Dahua, Lenovo m.fl. der har aflyttet virksomheder og privatpersoner i det meste af verden. Flere amerikanske føderale agenturer afslørede i dag, at kinesisk-støttede trusselsaktører har målrettet og kompromitteret store teleselskaber og netværkstjenesteudbydere for at stjæle legitimationsoplysninger og høste data.

Som NSA, CISA og FBI sagde i en fælles cybersikkerhedsrådgivning, der blev offentliggjort tirsdag, har kinesiske hackinggrupper udnyttet offentligt kendte sårbarheder til at bryde alt fra upatchede små kontor / hjemmekontor (SOHO) routere til mellemstore og endda store virksomhedsnetværk. Når systemerne er kompromitteret, brugte trusselsaktørerne enhederne som en del af deres egen angrebsinfrastruktur som kommando-og-kontrol-servere og proxysystemer, de kunne bruge til at bryde ind i flere netværk.

“Efter at have fået et indledende fodfæste i en telekommunikationsorganisation eller netværkstjenesteudbyder har Kinas statsstøttede cyberaktører identificeret kritiske brugere og infrastruktur, herunder systemer, der er kritiske for at opretholde sikkerheden ved godkendelse, autorisation og regnskab,” forklarer rådgivningen.

siger NSA

Angriberne stjal derefter legitimationsoplysninger for at få adgang til underliggende SQL-databaser og brugte SQL-kommandoer til at dumpe bruger- og administratoroplysninger fra kritiske RADIUS-servere (Remote Authentication Dial-In User Service).

Attack flowFotokredit: NSA.GOV

“Bevæbnet med gyldige konti og legitimationsoplysninger fra den kompromitterede RADIUS-server og routerkonfigurationerne vendte cyberaktørerne tilbage til netværket og brugte deres adgang og viden til med succes at godkende og udføre routerkommandoer til hemmeligt at dirigere, fange og eksfiltrere trafik ud af netværket til aktørstyret infrastruktur,”Tilføjede de føderale agenturer.

De tre føderale agenturer sagde, at følgende almindelige sårbarheder og eksponeringer (CVE’er) er de netværksenheds-CVE’er, der oftest udnyttes af kinesisk-støttede statslige hackere siden 2020.

“Kina har udnyttet specifikke teknikker og almindelige sårbarheder siden 2020 til at bruge til deres fordel i cyberkampagner,” tilføjede NSA.

Leverandør

CVE

Type af sårbarhed

Cisco

CVE-2018-0171

Fjernudførelse af kode

CVE-2019-15271

Fjernudførelse af kode

CVE-2019-1652

Fjernudførelse af kode

Citrix

CVE-2019-19781

Fjernudførelse af kode

DrayTek

CVE-2020-8515

Fjernudførelse af kode

D-Link

CVE-2019-16920

Fjernudførelse af kode

Fortinet

CVE-2018-13382

Omgåelse af godkendelse

MikroTik

CVE-2018-14847

Omgåelse af godkendelse

Netgear

CVE-2017-6862

Fjernudførelse af kode

Puls

CVE-2019-11510

Omgåelse af godkendelse

Poul Slesen 2021-22893

Fjernudførelse af kode

QNAP

CVE-2019-7192

Rettighedsforhøjelse

CVE-2019-7193

Fjernbetjent indsprøjtning

CVE-2019-7194

XML Routing Omvej Angreb

CVE-2019-7195

XML Routing Omvej Angreb

Zyxel

CvE-2020-29583

Omgåelse af godkendelse

Ved at udnytte disse sårbarheder har de kinesisk sponsorerede trusselsaktører etableret brede infrastrukturnetværk, der har hjulpet dem med yderligere at kompromittere en endnu bredere vifte af mål for den offentlige og private sektor. NSA, CISA og FBI opfordrer også amerikanske og allierede regeringer, kritisk infrastruktur og private industriorganisationer til at anvende en liste over afbødende foranstaltninger, der vil bidrage til at mindske risikoen for, at lignende angreb bryder ind i deres netværk.

De føderale agenturer råder organisationer til at anvende sikkerhedsrettelser så hurtigt som muligt, deaktivere unødvendige porte og protokoller for at krympe deres angrebsoverflade og erstatte udtyndet netværksinfrastruktur, der ikke længere modtager sikkerhedsrettelser.

De anbefaler også segmentering af netværk for at blokere laterale bevægelsesforsøg og muliggøre robust logning på interneteksponerede tjenester for at opdage angrebsforsøg så hurtigt som muligt.

Denne fælles rådgivning kommer efter to andre, der delte oplysninger om taktik, teknikker, og procedurer (TTP’er), der bruges af kinesiske statsstøttede hackere (i 2021) og offentligt kendte sårbarheder, der udnyttes i deres angreb (i 2020).

Flere amerikanske føderale agenturer afslørede i dag, at kinesisk-støttede trusselsaktører har målrettet og kompromitteret store teleselskaber og netværkstjenesteudbydere for at stjæle legitimationsoplysninger og høste data.

Som NSA, CISA og FBI sagde i en fælles cybersikkerhedsrådgivning, der blev offentliggjort tirsdag, har kinesiske hackinggrupper udnyttet offentligt kendte sårbarheder til at bryde alt fra upatchede små kontor / hjemmekontor (SOHO) routere til mellemstore og endda store virksomhedsnetværk.

Når kompromitteret, trusselsaktørerne brugte enhederne som en del af deres egen angrebsinfrastruktur som kommando-og-kontrol-servere og proxysystemer, de kunne bruge til at bryde ind i flere netværk.

“Efter at have fået et indledende fodfæste i en telekommunikationsorganisation eller netværkstjenesteudbyder har Kinas statsstøttede cyberaktører identificeret kritiske brugere og infrastruktur, herunder systemer, der er kritiske for at opretholde sikkerheden ved godkendelse, autorisation og regnskab,” forklarer rådgivningen.

Angriberne stjal derefter legitimationsoplysninger for at få adgang til underliggende SQL-databaser og brugte SQL-kommandoer til at dumpe bruger- og administratoroplysninger fra kritiske RADIUS-servere (Remote Authentication Dial-In User Service).

Attack flowBillede: NSA

“Bevæbnet med gyldige konti og legitimationsoplysninger fra den kompromitterede RADIUS-server og routerkonfigurationerne vendte cyberaktørerne tilbage til netværket og brugte deres adgang og viden til med succes at godkende og udføre routerkommandoer til hemmeligt at dirigere, fange og eksfiltrere trafik ud af netværket til aktørstyret infrastruktur,”

tilføjede de føderale agenturer i en fælles erklæring

De tre føderale agenturer sagde, at følgende almindelige sårbarheder og eksponeringer (CVE’er) er de netværksenheds-CVE’er, der oftest udnyttes af kinesisk-støttede statslige hackere siden 2020.

“Kina har udnyttet specifikke teknikker og almindelige sårbarheder siden 2020 til at bruge til deres fordel i cyberkampagner,”

tilføjede NSA.

Leverandør

CVE

Type af sårbarhed

Cisco

CVE-2018-0171

Fjernudførelse af kode

CVE-2019-15271

Fjernudførelse af kode

CVE-2019-1652

Fjernudførelse af kode

Citrix

CVE-2019-19781

Fjernudførelse af kode

DrayTek

CVE-2020-8515

Fjernudførelse af kode

D-Link

CVE-2019-16920

Fjernudførelse af kode

Fortinet

CVE-2018-13382

Omgåelse af godkendelse

MikroTik

CVE-2018-14847

Omgåelse af godkendelse

Netgear

CVE-2017-6862

Fjernudførelse af kode

Puls

CVE-2019-11510

Omgåelse af godkendelse

Poul Slesen 2021-22893

Fjernudførelse af kode

QNAP

CVE-2019-7192

Rettighedsforhøjelse

CVE-2019-7193

Fjernbetjent indsprøjtning

CVE-2019-7194

XML Routing Omvej Angreb

CVE-2019-7195

XML Routing Omvej Angreb

Zyxel

CvE-2020-29583

Omgåelse af godkendelse

Ved at udnytte disse sårbarheder har de kinesisk sponsorerede trusselsaktører etableret brede infrastrukturnetværk, der har hjulpet dem med yderligere at kompromittere en endnu bredere vifte af mål for den offentlige og private sektor. NSA, CISA og FBI opfordrer også amerikanske og allierede regeringer, kritisk infrastruktur og private industriorganisationer til at anvende en liste over afbødende foranstaltninger, der vil bidrage til at mindske risikoen for, at lignende angreb bryder ind i deres netværk.

De føderale agenturer råder organisationer til at anvende sikkerhedsrettelser så hurtigt som muligt, deaktivere unødvendige porte og protokoller for at krympe deres angrebsoverflade og erstatte udtyndet netværksinfrastruktur, der ikke længere modtager sikkerhedsrettelser.

De anbefaler også segmentering af netværk for at blokere laterale bevægelsesforsøg og muliggøre robust logning på interneteksponerede tjenester for at opdage angrebsforsøg så hurtigt som muligt.

Denne fælles rådgivning kommer efter to andre, der delte oplysninger om taktik, teknikker, og procedurer (TTP’er), der bruges af kinesiske statsstøttede hackere (i 2021) og offentligt kendte sårbarheder, der udnyttes i deres angreb (i 2020).

Kilde: bleebingcomputer

Fotokredit: NSA

Scroll til toppen