Η CISA προέτρεψε τους κατασκευαστές δρομολογητών μικρών γραφείων/οικιακών γραφείων (SOHO) να διασφαλίσουν την ασφάλεια των συσκευών τους έναν
τι
συνεχιζόμενων επιθέσεων που επιχειρούν να τους παραβιάσουν, ειδικά εκείνων που συντονίζονται από την κινεζική ομάδα hacking Volt Typhoon (Bronze Silhouette).
Πιο συγκεκριμένα, στο
νέα καθοδήγηση
που δημιουργήθηκαν με τη βοήθεια του FBI, οι δύο υπηρεσίες ζητούν από τους προμηθευτές να εξαλείψουν τις ευπάθειες στις διεπαφές διαχείρισης ιστού του δρομολογητή SOHO (WMIs) κατά τη διάρκεια των φάσεων σχεδιασμού και ανάπτυξης.
Τους ζητήθηκε επίσης να προσαρμόσουν την προεπιλεγμένη διαμόρφωση των δρομολογητών για να αυτοματοποιήσουν τις ενημερώσεις ασφαλείας, να απαιτήσουν μη αυτόματες παρακάμψεις κατά την απενεργοποίηση των ρυθμίσεων ασφαλείας και να επιτρέπουν πρόσβαση στο WMI των δρομολογητών μόνο από συσκευές συνδεδεμένες στο τοπικό δίκτυο.
Οι φορείς απειλών διακυβεύουν πολλές τέτοιες συσκευές, εκμεταλλευόμενοι τον τεράστιο αριθμό δρομολογητών SOHO που χρησιμοποιούν οι Αμερικανοί και τους χρησιμοποιούν ως βάσεις εκτόξευσης σε επιθέσεις που στοχεύουν οργανισμούς υποδομής ζωτικής σημασίας των ΗΠΑ.
«Η CISA και το FBI παροτρύνουν τους κατασκευαστές δρομολογητών SOHO να ενσωματώσουν ασφάλεια στο σχεδιασμό, την ανάπτυξη και τη συντήρηση των δρομολογητών SOHO για να εξαλείψουν την πορεία που ακολουθούν αυτοί οι παράγοντες απειλών για (1) να παραβιάσουν αυτές τις συσκευές και (2) να χρησιμοποιήσουν αυτές τις συσκευές ως εξέδρες εκτόξευσης θέτει σε κίνδυνο περαιτέρω οντότητες υποδομής ζωτικής σημασίας των ΗΠΑ», η υπηρεσία κυβερνοασφάλειας
είπε
.
«Η CISA και το FBI προτρέπουν επίσης τους κατασκευαστές να προστατεύονται από τη δραστηριότητα του Volt Typhoon και άλλες απειλές στον κυβερνοχώρο αποκαλύπτοντας ευπάθειες μέσω του προγράμματος Common Vulnerabilities and Exposures (CVE) καθώς και παρέχοντας ακριβή ταξινόμηση Common Weakness Enumeration (CWE) για αυτά τα τρωτά σημεία.
«Το Alert προτρέπει επίσης τους κατασκευαστές να εφαρμόσουν δομές κινήτρων που δίνουν προτεραιότητα στην ασφάλεια κατά τη διάρκεια του σχεδιασμού και της ανάπτυξης του προϊόντος».
Το Volt Typhoon συνδέεται με το
botnet
του δρομολογητή SOHO
Οι επιθέσεις Volt Typhoon που στοχεύουν δρομολογητές SOHO που αναφέρονται από την CISA στη σημερινή προειδοποίηση πιθανότατα αναφέρονται στο κακόβουλο λογισμικό KV-botnet που συνδέεται με τους κινεζικούς κυβερνοκατασκοπευτές τον Δεκέμβριο που στοχεύει τέτοιες συσκευές τουλάχιστον από τον Αύγουστο του
2022
.
ΕΝΑ
Ιούνιος 2023 Συμβουλευτική κυβέρνηση των ΗΠΑ
εκτίμησε ότι η ομάδα απειλών εργαζόταν για την κατασκευή υποδομής που θα μπορούσε να χρησιμοποιηθεί για τη διακοπή της υποδομής επικοινωνιών σε όλες τις
Ηνωμένες Πολιτείες
.
Μια προηγούμενη αναφορά της Microsoft αποκάλυψε ότι οι κρατικοί χάκερ που υποστηρίζονται από την Κίνα στόχευσαν και παραβίασαν οργανισμούς υποδομής ζωτικής σημασίας των ΗΠΑ τουλάχιστον από τα μέσα του 2021, συμπεριλαμβανομένου του Γκουάμ, το οποίο είναι ένα νησί που φιλοξενεί πολλές στρατιωτικές βάσεις των ΗΠΑ.
Το Volt Typhoon είναι γνωστό ότι στοχεύει συνήθως δρομολογητές, τείχη προστασίας και συσκευές VPN για τη διαμεσολάβηση κακόβουλης κυκλοφορίας, συνδυάζοντάς το με τη νόμιμη κυκλοφορία για να αποφύγει τον εντοπισμό κατά τη διάρκεια επιθέσεων. Σύμφωνα με την ομάδα της Lumen Technologies Black Lotus Labs, οι χάκερ στοχεύουν τείχη προστασίας Netgear ProSAFE, Cisco RV320s, δρομολογητές DrayTek Vigor και κάμερες IP Axis.
“Η καμπάνια μολύνει συσκευές στην άκρη των δικτύων, ένα τμήμα που έχει αναδειχθεί ως ένα soft spot στην αμυντική σειρά πολλών επιχειρήσεων, που επιδεινώνεται από τη στροφή στην απομακρυσμένη εργασία τα τελευταία χρόνια”, δήλωσε ο Lumen.
Το κρυφό δίκτυο μεταφοράς δεδομένων που δημιουργήθηκε με τη βοήθεια του KV-botnet έχει χρησιμοποιηθεί σε επιθέσεις που στοχεύουν ένα ευρύ φάσμα οργανισμών, συμπεριλαμβανομένων στρατιωτικών οντοτήτων των ΗΠΑ, παρόχων υπηρεσιών τηλεπικοινωνιών και διαδικτύου, μιας εδαφικής κυβερνητικής οντότητας των ΗΠΑ στο Γκουάμ και μιας ευρωπαϊκής εταιρείας ανανεώσιμων πηγών ενέργειας .
Η κυβέρνηση των ΗΠΑ φέρεται να έχει ήδη καταστρέψει μέρος της υποδομής του Volt Typhoon τους τελευταίους μήνες, σύμφωνα με
Reuters
.
VIA:
bleepingcomputer.com
