Несколько федеральных агентств США сообщили , что китайские правительственные хакеры взломали крупные телекоммуникационные компании для кражи учетных данных.

По заявлениям АНБ, CISA и ФБР, китайские хакерские группы использовали общеизвестные уязвимости для множественных взломов от неисправленных маршрутизаторов небольших офисов до крупных корпоративных сетей. После компрометации хакеры использовали устройства как часть своей собственной инфраструктуры в качестве серверов управления и контроля, а также прокси-систем, которые киберпреступники могли использовать для проникновения в другие сети.

«После доступа к системе организации киберпреступники определили критически важных пользователей и инфраструктуру, а также системы для обеспечения безопасности аутентификации, авторизации и учета», — указано в отчете .

Затем злоумышленники украли учетные данные для доступа к базам данных SQL и использовали SQL команды для сброса учетных данных пользователей и администраторов с серверов службы удаленной аутентификации пользователей (Remote Authentication Dial-In User Service, RADIUS).

«Используя конфигурации маршрутизатора и учетные данные со взломанного RADIUS сервера, злоумышленники прошли аутентификацию и выполнили команду маршрутизатора, чтобы тайно перехватить и вывести трафик из сети в инфраструктуру, контролируемую хакерами», — добавили специалисты.

Киберпреступники использовали распространенные уязвимости сетевых устройств, которые ранее часто использовались правительственными хакерами Китая, среди них:

RCE-уязвимости Cisco CVE-2018-0171 , CVE-2019-15271 , CVE-2019-1652 ;
Обход аутентификации Zyxel CVE-2020-29583 ;
Уязвимости, позволяющие перехватить контроль над устройствами QNAP CVE-2019-7192, CVE-2019-7194, CVE-2019-7195 .

Федеральные агентства порекомендовали организациям применить следующие меры безопасности:

установить исправления безопасности;
отключить ненужные порты и протоколы, чтобы уменьшить поверхность атаки;
заменить сетевую инфраструктуру с истекшим сроком службы, которая больше не получает обновлений;
сегментировать сети для блокирования попытки бокового перемещения;
обеспечить ведение журналов в интернет-сервисах для быстрого обнаружения киберугрозы.