По данным ФБР, Агентства национальной безопасности (АНБ) и Агентства кибербезопасности и защиты инфраструктуры (CISA), спонсируемые государством китайские злоумышленники собирают широкую сеть взломанной инфраструктуры, из которой они могут атаковать операторов мобильных сетей (MNO). Об этом пишет Mobile Europe.

Три американских агентства по безопасности призвали операторов мобильной связи к исправлению систем, обязательной многофакторной аутентификации, сегментированию сетей для ограничения перемещений и отключению любых возможностей внеполосного управления для всех устройств. В совместном совете они предупредили союзные правительства, операторов критической инфраструктуры и частную промышленность закрыть все «дыры» в своих сетях.

Агентства безопасности предупредили телекоммуникационные компании о том, что их сетевые устройства станут мишенью. Агентства определили 16 наиболее часто используемых окон в инфраструктуру телекоммуникационной компании, которые будут использоваться хакерами, причем многие из них долгое время оставались открытыми. Некоторыми из них пренебрегают с 2017 года. Хакеры будут использовать инструменты с открытым исходным кодом, такие как RouterSploit и RouterScan, для поиска потенциально уязвимых блоков, которые, как сообщает The Register, в изобилии присутствуют в домах и малых предприятиях, подключенных к сетям мобильных операторов. Их нелегко исправить, и пользователям редко сообщают о необходимости обновления прошивки.

Операторы мобильных сетей в Европе, на Ближнем Востоке и в Африке предупреждены, что эти взломанные устройства станут дверью в их организации, после чего злоумышленники будут охотиться за пользователями с ценными привилегиями и инфраструктурой, управляющей аутентификацией, авторизацией и учетом.

В типичной атаке хакер, спонсируемый Китаем, выявляет критически важный сервер удаленной аутентификации (RADIUS), затем получает учетные данные для доступа к базовой базе данных SQL и использует команды SQL для сброса учетных данных, которые содержат как чистый текст, так и хэшированные пароли для учетных записей пользователей и администраторов.

Затем хакеры использовали украденные учетные данные в автоматизированных сценариях для аутентификации доступа к маршрутизатору через Secure Shell, затем выполняли команды маршрутизатора и сохраняли результаты. Среди найденного была вся информация о конфигурации каждого маршрутизатора, подключенного к сети оператора связи.

Экспертам по безопасности телекоммуникационных компаний будет трудно обнаружить эти атаки, говорится в рекомендации, поскольку нанятые Китаем хакеры часто смешивают свои собственные инструменты с общедоступными инструментами, часто выбирая инструменты, которые являются родными для сетевой среды. Это вписывает их в обычный внешний вид сети и скрывает их намерения. Хакеры часто меняют свою тактику в ответ на опубликованные рекомендации, говорится в опубликованной рекомендации.

Источник: ghall.com.ua