Οι ΗΠΑ μοιράζονται συμβουλές για τον αποκλεισμό των χάκερ πίσω από πρόσφατες παραβιάσεις των τηλεπικοινωνιών

​Η CISA κυκλοφόρησε σήμερα οδηγίες για να βοηθήσει τους υπερασπιστές του δικτύου να σκληρύνουν τα συστήματά τους έναντι επιθέσεων που συντονίζονται από την κινεζική ομάδα απειλών Salt Typhoon που παραβίασαν πολλούς μεγάλους παγκόσμιους παρόχους τηλεπικοινωνιών νωρίτερα αυτό το έτος.

Η αμερικανική υπηρεσία κυβερνοασφάλειας και το FBI επιβεβαίωσαν τις παραβιάσεις στα τέλη Οκτωβρίου μετά από αναφορές ότι το Salt Typhoon παραβίασε πολλούς παρόχους ευρυζωνικών συνδέσεων, συμπεριλαμβανομένων των AT&T, T-Mobile, Verizon και Lumen Technologies.

Αργότερα αποκάλυψαν ότι οι επιτιθέμενοι παραβίασαν τις “ιδιωτικές επικοινωνίες” ενός “περιορισμένου αριθμού” κυβερνητικών αξιωματούχων, απέκτησαν πρόσβαση στην πλατφόρμα υποκλοπών της κυβέρνησης των ΗΠΑ και έκλεψαν αρχεία κλήσεων πελατών και δεδομένα αιτημάτων επιβολής του νόμου.

Αν και είναι ακόμα άγνωστο πότε παραβιάστηκαν για πρώτη φορά τα δίκτυα των τηλεπικοινωνιακών κολοσσών, οι Κινέζοι χάκερ είχαν πρόσβαση «για μήνες ή περισσότερο», σύμφωνα με έκθεση της WSJτο οποίο τους επέτρεψε να κλέψουν τεράστια ποσά «διακίνησης στο Διαδίκτυο από παρόχους υπηρεσιών Διαδικτύου που υπολογίζουν μεγάλες και μικρές επιχειρήσεις και εκατομμύρια Αμερικανούς ως πελάτες τους».

“Δεν μπορούμε να πούμε με βεβαιότητα ότι ο αντίπαλος έχει εκδιωχθεί, γιατί ακόμα δεν γνωρίζουμε το εύρος αυτού που κάνουν. Εξακολουθούμε να προσπαθούμε να το καταλάβουμε αυτό, μαζί με αυτούς τους εταίρους”, είπε στους δημοσιογράφους ανώτερος αξιωματούχος της CISA σήμερα σε συνέντευξη Τύπου.

Ωστόσο, ο Chief Security Officer της T-Mobile, ο οποίος δήλωσε την Τετάρτη ότι η επίθεση προήλθε από το δίκτυο ενός συνδεδεμένου παρόχου ενσύρματων γραμμών, ισχυρίζεται ότι η εταιρεία δεν βλέπει πλέον κανέναν επιτιθέμενο ενεργό στο δίκτυό της.

Παρακολουθείται επίσης ως Earth Estries, FamousSparrow, Ghost Emperor και UNC2286, αυτή η ομάδα απειλών παραβιάζει κυβερνητικές οντότητες και εταιρείες τηλεπικοινωνιών σε όλη τη Νοτιοανατολική Ασία τουλάχιστον από το 2019.

«Η επαγρύπνηση είναι το κλειδί»

Όπως το NSA είπε σήμερα, οι Κινέζοι εισβολείς έχουν στοχεύσει εκτεθειμένες και ευάλωτες υπηρεσίες, μη επιδιορθωμένες συσκευές και γενικά υποασφαλισμένα περιβάλλοντα.

Ο κοινή συμβουλευτικήπου κυκλοφόρησε σε συνεργασία με το FBI, την NSA και διεθνείς συνεργάτες, περιλαμβάνει συμβουλές για τη σκλήρυνση των συσκευών και την ασφάλεια του δικτύου για τη μείωση της επιφάνειας επίθεσης που εκμεταλλεύονται αυτοί οι παράγοντες απειλών.

Περιλαμβάνει επίσης αμυντικά μέτρα για τη βελτίωση της ορατότητας για τους διαχειριστές συστημάτων και τους μηχανικούς που διαχειρίζονται την υποδομή επικοινωνιών για πιο λεπτομερή εικόνα της κυκλοφορίας δικτύου, της ροής δεδομένων και των δραστηριοτήτων των χρηστών.

Άλλες βέλτιστες πρακτικές σκλήρυνσης που επισημαίνονται στη σημερινή συμβουλή περιλαμβάνουν:

• Άμεση επιδιόρθωση και αναβάθμιση συσκευών,
• Απενεργοποίηση όλων των πρωτοκόλλων που δεν χρησιμοποιούνται, χωρίς έλεγχο ταυτότητας ή μη κρυπτογραφημένα,
• Περιορισμός των συνδέσεων διαχείρισης και των προνομιακών λογαριασμών,
• Χρήση και αποθήκευση κωδικών πρόσβασης με ασφάλεια,
• Χρησιμοποιώντας μόνο ισχυρή κρυπτογραφία.

Συνιστάται επίσης στους υπερασπιστές δικτύου να διαμορφώνουν τα συστήματά τους ώστε να καταγράφουν όλες τις αλλαγές διαμόρφωσης και τις συνδέσεις διαχείρισης και να ειδοποιούν για τυχόν απροσδόκητα για να βελτιώσουν την ορατότητα για συσκευές άκρων στην περίμετρο του δικτύου.

Είναι επίσης σημαντικό να παρακολουθείτε την επισκεψιμότητα από αξιόπιστους συνεργάτες, όπως παρόχους ενσύρματων γραμμών, καθώς η T-Mobile παραβιάστηκε μέσω συνδεδεμένου παρόχου καλωδίων και όχι μέσω συσκευών που εκτέθηκαν στο Διαδίκτυο.

“Η επαγρύπνηση είναι το κλειδί για την άμυνα έναντι του παραβιασμού του δικτύου. Να έχετε πάντα μάτια στα συστήματά σας και να επιδιορθώνετε και να αντιμετωπίζετε γνωστές ευπάθειες προτού γίνουν στόχοι”, δήλωσε ο διευθυντής κυβερνοασφάλειας της NSA, Dave Luber.