► ЩО СТАЛОСЬ

Уряди Сполучених Штатів Америки та їхніх союзників опублікували спільне попередження щодо активізації російських державних спонсорованих груп з підвищеною кваліфікацією (APT). Ці групи здійснюють сканування та експлуатацію вразливостей у погано захищених мережевих пристроях, зокрема маршрутизаторах, з метою отримання доступу до критично важливих інфраструктур по всьому світу. Серед згаданих груп – ті, що пов'язані з Центром 16 ФСБ РФ, такі як Berserk Bear, Energetic Bear та Ghost, хоча повний перелік може бути ширшим.

► ТЕХНІЧНІ ДЕТАЛІ

APT-групи використовують різноманітні методи для компрометації мережевих пристроїв. Це може включати використання слабких або стандартних паролів, експлуатацію відомих вразливостей у програмному забезпеченні пристроїв, а також застосування фішингових технік для отримання облікових даних адміністраторів. Компрометація маршрутизаторів дозволяє зловмисникам перехоплювати трафік, перенаправляти його на шкідливі ресурси, або ж використовувати пристрій як плацдарм для подальших атак на внутрішню мережу організації.

► КОМУ ЗАГРОЖУЄ

Ці атаки становлять значну загрозу для широкого кола організацій, що використовують мережеві пристрої для своєї діяльності. Особливо вразливими є:

  • Підприємства критичної інфраструктури: енергетичні компанії, водопостачання, транспортні мережі, фінансові установи.
  • Державні установи: урядові сайти, оборонні підприємства, органи місцевого самоврядування.
  • Великі корпорації: будь-які організації з розгалуженою мережевою інфраструктурою.
  • Малий та середній бізнес: часто мають обмежені ресурси для забезпечення належного рівня кібербезпеки.
► РЕКОМЕНДАЦІЇ

Для мінімізації ризиків рекомендується вжити наступних заходів:

  • Зміна стандартних паролів: негайно змініть усі стандартні паролі на складні та унікальні.
  • Регулярне оновлення ПЗ: своєчасно встановлюйте оновлення для прошивок мережевих пристроїв, щоб усунути відомі вразливості.
  • Обмеження доступу: використовуйте списки контролю доступу (ACL) та мережеву сегментацію для обмеження доступу до пристроїв.
  • Моніторинг трафіку: впроваджуйте системи моніторингу мережевого трафіку для виявлення підозрілої активності.
  • Використання VPN: для віддаленого доступу до мережі використовуйте надійні VPN-з'єднання.
  • Двофакторна автентифікація: де це можливо, впроваджуйте двофакторну автентифікацію для доступу до адміністративних інтерфейсів.
🔗 Джерело: Security Affairs →