Dispozitivele de rețea sunt vizate de atacatori cibernetici

În data de 19 aprilie 2018, NCCIC (Centrul Național de Securitate Cibernetică și Comunicații Integrate – National Cybersecurity and Communications Integration Center) și FBI (Biroul Federal de Investigații) au fost notificate cu privire la activități cibernetice malițioase, precum redirectarea cererilor DNS către infrastructuri proprii, prin crearea tunelurilor GRE pentru obținerea de informații sensibile, precum fișierele de configurare sau lista dispozitivelor din rețea.

Ca urmare a acestor evenimente, dar și a alertelor tehnice realizate pe baza analizelor derulate de Departamentul pentru Securitate Internă (DHS – Department of Homeland Security), FBI și Centrul Național de Securitate Cibernetică din Marea Britanie (NCSC – United Kingdom’s National Cyber Security Centre), CERT-RO a elaborat prezenta alertă de securitate cibernetică.

Rolul acesteia este de a furniza informații privind exploatarea la nivel mondial a dispozitivelor de rețea (ex. router, switch, firewall, dispozitive de detecție a intruziunilor de rețea – NIDS) de către actori cibernetici susținuți la nivel statal.

Țintele sunt în primul rând organizațiile guvernamentale și din sectorul privat, furnizorii de infrastructură critică și furnizorii de servicii internet (ISP – Internet Service Providers) care susțin aceste sectoare.Atacatorii se folosesc de routere compromise, pentru a efectua atacuri de tip „man-in-the-middle” cu scopul de a extrage date din rețelele-victimă și mențin accesul la acestea pentru utilizarea lor în eventuale acțiuni ofensive.

Protocoale afectate
GRE – Generic Routing Encapsulation;
SMI – Cisco Smart Install;
SNMP – Simple Network Management Protocol.

Elemente de urmărit
Prezența traficului pe protocolul 47 dinspre sau către adrese necunoscute;
Prezenta tunelelor de tip GRE;
Modificarea sau distrugerea jurnalelor digitale.

Sursa articolului: www.cert.ro

Site găzduit de RedHost.ro