Inlichtingendiensten: Netwerken wereldwijd doelwit van Chinese staatshackers

Hiervoor waarschuwt het Amerikaanse Cybersecurity & Infrastructure Security Agency (CISA) in samenwerking met diverse inlichtingendiensten wereldwijd. De aanvallers mikken met name op grote backbone-routers van telecomproviders, evenals op provider edge- (PE) en customer edge- (CE) routers. Daarnaast gebruiken ze gecompromitteerde apparaten en vertrouwde verbindingen om toegang te krijgen tot andere netwerken. Vaak passen ze routers aan om langdurige, persistente toegang tot systemen te behouden.

De aanvallers maken gebruik van bekende kwetsbaarheden in diverse applicaties, waaronder Ivanti Connect Secure, Ivanti Policy Secure, Palo Alto Networks PAN-OS GlobalProtect, Cisco Internetworking Operating System (IOS) en Cisco IOS XE. De aanvallen zijn waargenomen in landen als de Verenigde Staten, Australië, Canada, Nieuw-Zeeland, het Verenigd Koninkrijk en andere regio’s.

APT-actoren

Deze activiteiten komen gedeeltelijk overeen met eerdere rapportages over cyberdreigingsactoren, die in de beveiligingssector bekendstaan onder namen als Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 en GhostEmperor. In dit advies wordt niet één specifieke commerciële benaming gebruikt; in plaats daarvan wordt verwezen naar de verantwoordelijken als Advanced Persistent Threat (APT)-actoren.

Uit onderzoek van overheden en beveiligingsbedrijven blijkt dat deze APT-actoren zowel interne bedrijfsomgevingen als systemen en netwerken aanvallen die directe diensten aan klanten leveren. Het advies beschrijft de gebruikte tactieken, technieken en procedures (TTP’s) om detectie en dreigingsanalyse te vergemakkelijken. Daarnaast bevat het richtlijnen om de risico’s van deze aanvallen en hun methoden te beperken.

Meer informatie is hier beschikbaar.