Маршрутизаторы, нацеленные на ботнет-атаки: сигнал тревоги для защиты оборудования удаленных сотрудников

Спонсируемые государством хакеры, связанные с Китаем, атаковали маршрутизаторы небольших и домашних офисов в США в рамках широкомасштабной бот-сети, сообщил в среду, 31 января, директор Федерального бюро расследований Кристофер Рэй. Большинство пострадавших маршрутизаторов были произведены Cisco. и NetGear и достигли статуса устаревшего.

31 января 2024 года следователи Министерства юстиции заявили, что вредоносное ПО было удалено с затронутых маршрутизаторов. Следователи также отключили маршрутизаторы от других устройств, используемых в ботнете.

ИТ-командам необходимо знать, как снизить риски кибербезопасности, которые могут возникнуть из-за того, что удаленные сотрудники используют устаревшие технологии.

Что такое атака ботнета Volt Typhoon?

Угроза кибербезопасности в данном случае — это ботнет, созданный Volt Typhoon, группой злоумышленников, спонсируемой правительством Китая.

Начиная с мая 2023 года ФБР расследовало кампанию кибератак против организаций критической инфраструктуры. 31 января 2024 года ФБР сообщило, что расследование той же группы злоумышленников, проведенное в декабре 2023 года, показало, что злоумышленники, спонсируемые правительством Китая, создали ботнет, используя сотни частных маршрутизаторов по всей территории США.

Атака была попыткой вторгнуться в «сектор связи, энергетики, транспорта и водоснабжения», чтобы подорвать критически важные функции США в случае конфликта между странами, сказал Рэй в пресс-релизе.

SEE: Многие охранные компании и агентства США присматриваются к Androxgh0st, ботнету, нацеленному на облачные учетные данные. (Техреспублик)

Злоумышленники использовали технику «жизни за счет земли», чтобы слиться с нормальной работой пострадавших устройств.

ФБР связывается со всеми, чье оборудование пострадало в результате этой конкретной атаки. Не подтверждено, подверглись ли нападениям сотрудники конкретной организации.

Как снизить риски кибербезопасности от ботнетов для удаленных работников

Тот факт, что целевые маршрутизаторы находятся в частной собственности, подчеркивает угрозу безопасности для ИТ-специалистов, пытающихся обеспечить безопасность удаленных сотрудников. Поскольку ИТ-специалисты не контролируют маршрутизаторы, используемые дома, трудно узнать, используют ли работодатели старые или даже отработанные маршрутизаторы.

Ботнеты часто используются для запуска распределенных атак типа «отказ в обслуживании» или для распространения вредоносного ПО, поэтому защита от них является важным компонентом полной защиты от ботнетов. Ботнеты обычно управляются централизованным сервером управления и контроля.

Организации должны обеспечить хорошую защиту конечных точек и превентивную защиту, например:

решения для информации о безопасности и управления событиями; решения для оркестрации безопасности, автоматизации и реагирования (с генеративными компонентами искусственного интеллекта или без них); политики кибербезопасности для удаленных сотрудников.

Программное и аппаратное обеспечение следует поддерживать в актуальном состоянии, поскольку устройства с истекшим сроком эксплуатации особенно уязвимы. Чтобы защитить устройства от использования в атаках ботнетов, регулярно проводите сканирование безопасности, внедряйте многофакторную аутентификацию и информируйте сотрудников о передовых методах кибербезопасности.

«Очень важно активно проводить тщательную техническую инвентаризацию активов за пределами традиционного офиса», — сказала Деми Бен-Ари, технический директор сторонней компании, занимающейся технологиями управления рисками Panorays, в электронном письме TechRepublic. «Этот подход помогает выявлять устаревшие технологии, обеспечивая удаленным работникам современное и безопасное оборудование».

«Хотя удаленная работа создает потенциальные уязвимости из-за различных сред, важно отметить, что аналогичные атаки могут происходить и в офисе», — сказал Бен-Ари.