Nội dung bài viết
Với sự thịnh hành của các proxy dân dụng, CISA kêu gọi người dùng bộ định tuyến hãy cảnh giác.
Chính phủ liên bang đang cảnh báo người dùng bộ định tuyến tại nhà và văn phòng nhỏ hãy bảo mật thiết bị của họ khi các tin tặc nhà nước Nga tiếp tục xâm phạm hàng loạt chúng để sử dụng nhằm che giấu các hành động bất chính chống lại các tổ chức nhạy cảm trong khu vực công và tư nhân.
Cả chính phủ Nga và Trung Quốc đều đã xâm phạm các bộ định tuyến trong nhiều năm, đôi khi là những cuộc giằng co kéo dài để giành quyền kiểm soát các thiết bị mà bên kia đã trưng dụng. Chính phủ Hoa Kỳ thỉnh thoảng ban hành các lệnh bí mật và thực hiện các bước khác để khử trùng bộ định tuyến.
Google và các công ty khác cũng đã nỗ lực phá vỡ các mạng botnet khổng lồ kiểm soát các bộ định tuyến bị xâm nhập theo từng bước. Các hành động cho đến nay không khác gì các bài tập đánh chuột vì những kẻ điều hành chỉ cần thay thế mạng botnet của họ bằng mạng mới.
Cơ quan An ninh mạng và Cơ sở hạ tầng cho biết hôm thứ Hai: “Trung tâm Cơ quan An ninh Liên bang Nga (FSB) 16 tiếp tục khai thác các thiết bị mạng dễ bị tổn thương và có cấu hình kém trên toàn thế giới, vô tình xâm phạm nhiều mạng thuộc lĩnh vực cơ sở hạ tầng quan trọng”.
Các nhóm hack được theo dõi nhiều cái tên khác nhau, bao gồm Berserk Bear, Energetic Bear, Crouching Yeti, Dragonfly, Ghost Blizzard và Static Tundra. Lời khuyên này được đồng ban hành bởi các chính phủ trên khắp thế giới, bao gồm Úc, Đan Mạch, New Zealand và Vương quốc Anh.
Phương tiện xâm phạm chính mà cơ quan này cảnh báo là tin tặc quét các dải IP bằng các tác nhân Giao thức quản lý mạng đơn giản (SNMP) đang hoạt động chấp nhận thông tin xác thực phổ biến hoặc mặc định.
Các quá trình quét này được thực hiện bởi chính loại botnet bộ định tuyến mà tác nhân đang cố gắng đăng ký thiết bị được nhắm mục tiêu.
Bằng cách gửi lưu lượng truy cập độc hại từ các địa chỉ giả mạo, tin tặc có thể sử dụng tác nhân SNMP trên các bộ định tuyến được cấu hình kém để chạy phần mềm độc hại.
SNMP cho phép người dùng thu thập và sắp xếp thông tin về các thiết bị mạng được quản lý hoặc sửa đổi thông tin đó để thay đổi hành vi của thiết bị.
Với quyền kiểm soát một thiết bị, tin tặc sau đó sử dụng nó làm nút thoát khi thăm dò hoặc tấn công các mục tiêu trong các lĩnh vực liên lạc, quốc phòng, năng lượng, tài chính và chính phủ.
Bằng cách chuyển lưu lượng truy cập độc hại thông qua một thiết bị có vẻ ngoài lành tính trên một địa chỉ IP đáng tin cậy, những kẻ tấn công có thể giảm nguy cơ bị chặn bởi tường lửa và các biện pháp khác. phòng thủ an ninh.
Khuyến cáo hôm thứ Hai không đề cập đến các hoạt động tương tự được thực hiện trong những năm gần đây bởi Trung Quốc. Cái gọi là proxy dân cư cũng là một công cụ được các tin tặc tội phạm có động cơ tài chính sử dụng để che giấu địa chỉ IP thực của chúng.
Trong nhiều trường hợp, các loại proxy này được tạo thành từ hàng triệu thiết bị phát trực tuyến được bán với phần mềm độc hại được tải sẵn. Cơ quan này kêu gọi người dùng bộ định tuyến khóa thiết bị của họ.
Trưởng trong số các đề xuất là đảm bảo SNMP phiên bản 1 và 2 bị vô hiệu hóa vì chúng không mã hóa mật khẩu hoặc tuân theo các biện pháp bảo mật thông thường khác. Thay vào đó, chỉ nên sử dụng SNMP phiên bản 3.
Tùy chọn tốt hơn là tắt hoàn toàn SNMP trừ khi nó cần thiết cho một mục đích sử dụng cụ thể. Các biện pháp bảo vệ khác bao gồm vô hiệu hóa Cisco Smart Install trên tất cả các thiết bị, sử dụng mật khẩu mạnh, cập nhật chương trình cơ sở thường xuyên và tránh sử dụng các giao thức mạng khác.
Ars Technica đã tách tín hiệu khỏi tiếng ồn trong hơn 25 năm. Với sự kết hợp độc đáo giữa hiểu biết về kỹ thuật và mối quan tâm sâu rộng đến nghệ thuật và khoa học công nghệ, Ars là nguồn đáng tin cậy trong biển thông tin.
Suy cho cùng, bạn không cần phải biết mọi thứ, chỉ cần biết những gì quan trọng rant.
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.