In un comunicato elaborato a più mani e firmato dalle principali agenzie che si occupano di cybersecurity e sicurezza nazionale (FBI, NSA e CISA) gli Stati Uniti affermano di aver individuato una serie di collegamenti tra attacchi informatici che hanno preso di mira aziende di ogni livello e gruppi hacking cinesi finanziati dallo stato.
Nella nota diramata dalle tre principali agenzie USA, si legge che già dal 2020 i criminali informatici avrebbero avviato una pesante campagna di aggressione bersagliando dispositivi di rete ampiamente utilizzati sia nelle piccole imprese che nelle aziende di grandi dimensioni.
Sfruttando vulnerabilità di sicurezza già conosciute, tutte classificate con un corrispondente identificativo CVE, i malintenzionati hanno usato tali strumenti per farsi largo nelle reti altrui, monitorare il traffico di rete e sottrarre dati riservati, anche mediante l’installazione di client gestiti da remoto attraverso appositi server command & control.
La presa di posizione mette nero su bianco anche le vulnerabilità nei dispositivi Cisco, Citrix, DrayTek, D-Link, Fortinet, MikroTik, Netgear, Pulse, QNAP e Zyxel che sono state sfruttate. FBI, NSA e CISA spiegano che gli hacker cinesi sono riusciti nell’intento di identificare utenti e infrastrutture critiche, inclusi i sistemi adoperati per gestire le procedure di autenticazione, gli account e i permessi.
Sfruttando le lacune di sicurezza, per le quali esistevano già le patch correttive, gli aggressori hanno creato ampie reti utilizzate per attaccare un ventaglio ancor più ampio di obiettivi nel settore pubblico e privato.
Le agenzie federali consigliano alle organizzazioni di applicare le patch di sicurezza prima possibile, disabilitare porte e protocolli non necessari e ridurre la superficie di attacco verificando e limitando al massimo ciò che viene esposto su IP pubblici.
Viene anche raccomandato di segmentare le reti per bloccare i tentativi di movimento laterale e ridurre l’impatto di un eventuale attacco.
In un altro articolo abbiamo visto cos’è un attacco informatico, come nasce e come diventa un problema.
Strumenti come RouterSploit e RouterScan vengono quotidianamente utilizzati da utenti malintenzionati per effettuare la scansione di ampi gruppi di indirizzi IP e trovare dispositivi per il networking che soffrono di qualche vulnerabilità sfruttabile da remoto.