Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и Федеральное бюро расследований (ФБР) предупредили американские организации о нарастающей угрозе кибератак, нацеленных на маршрутизаторы малого офиса/домашнего офиса (SOHO).
Особое внимание уделяется атакам, координируемым китайской группой хакеров Volt Typhoon (также известной как Bronze Silhouette), которые в последнее время активно пытаются захватить контроль над подобными устройствами в различных американских организациях.
Несмотря на то, что последнюю волну атак удалось успешно отразить , производителям маршрутизаторов было рекомендовано впредь уделять куда больше внимания кибербезопасности сетевых устройств. В частности, все потенциальные уязвимости веб-интерфейсов управления маршрутизаторов и прочего похожего оборудования рекомендовано исключать ещё на этапах проектирования и разработки.
Также было предложено изменить стандартную конфигурацию маршрутизаторов для автоматизации обновлений безопасности, требовать ручного подтверждения при отключении настроек безопасности и ограничить доступ к интерфейсу управления маршрутизатором только с устройств, подключенных по локальной сети.
С одной стороны, это может немного снизить функциональность и возможные сценарии использования маршрутизаторов, но с другой, исключит большинство, если не все, угрозы безопасности извне.
Дешёвые маршрутизаторы очень популярны как в небольших организациях, так и в домашнем использовании многих американцев. Возможность доступа к ним через Интернет делает такие устройства уязвимы для захвата в ботнет-армии злоумышленников и дальнейшем использовании для организации DDoS-атак, в том числе направленных на критическую инфраструктуру страны.
Особое внимание CISA уделила активности группы Volt Typhoon, связанной с китайскими кибершпионами и с августа 2022 года нацеленной на SOHO-маршрутизаторы, используя вредонос “KV-botnet”.
В июне 2023 года правительственное консультативное учреждение США оценило, что эта группа работает над созданием инфраструктуры, которая может быть использована для нарушения связи по всей территории Соединённых Штатов.
В отчёте Microsoft за май прошлого года упоминается , что с середины 2021 года китайские хакеры регулярно атакуют и проникают в критически важные инфраструктурные организации США, включая остров Гуам, на котором расположено несколько американских военных баз.
Volt Typhoon известна атаками на маршрутизаторы, брандмауэры и VPN-устройства, что позволяло хакерам маскировать передачу вредоносного трафика и избегать таким образом обнаружения во время атак. Помимо военных объектов подобные скрытые сети уже не раз поражали американских телекоммуникационных и интернет-провайдеров, а также различные правительственные объекты, включая критическую инфраструктуру.
Как мы уже сообщали ранее , американское правительство уже частично обезвредило инфраструктуру Volt Typhoon, однако ничто не мешает хакерам реорганизовать свою сеть и вернуться позже с куда более массивной и разрушительной атакой.