O Departamento de Segurança Interna (DHS CISA) Agência de Segurança Cibernética e Proteção de Infraestrutura (DHS CISA) publicou diretrizes de segurança para o setor privado e agências governamentais. CISA disse que hackers chineses associados ao Ministério de Segurança do Estado da República da China estão atacando organizações nos Estados Unidos e explorando bugs no F5, Citrix, Pulse Secure e Microsoft Exchange.
De acordo com especialistas da CISA, durante o ano passado, Hackers chineses escaneiam regularmente as redes do governo dos EUA em busca de dispositivos de rede, e então usado contra eles explorações para vulnerabilidades resh, tentando ganhar uma posição em redes vulneráveis e continuar o movimento lateral.
A Agência de Segurança Cibernética e de Infraestrutura (CISA) tem observado consistentemente o Ministério da Segurança do Estado da China (MSS)-atores afiliados de ameaças cibernéticas que usam fontes de informação publicamente disponíveis e recursos comuns, táticas bem conhecidas, técnicas, e procedimentos (TTPs) para atingir os EUA. Agências governamentais", - diz relatório CISA.
De acordo com o relatório, alguns desses ataques foram bem-sucedidos, e os atacantes alcançaram seu objetivo.
Os principais alvos dos hackers chineses foram os balanceadores de carga F5 Big-IP, Dispositivos Citrix e Pulse Secure VPN, e servidores de correio Microsoft Exchange. Vulnerabilidades graves foram identificadas em todos esses produtos no ano passado, Incluindo: CVE-2020-5902, CVE-2019-19781, CVE-2019-11510, e CVE-2020-0688.
Tendo se infiltrado na rede, Hackers chineses buscam avançar ainda mais e roubar dados. Para isso é utilizada uma variedade de ferramentas (incluindo código aberto e legítimo), os mais comuns são a plataforma Cobalt Strike, bem como as ferramentas China Chopper Web Shell e Mimikatz.
Jornalistas da ZDNet observação que não apenas os cibercriminosos chineses estão interessados nas vulnerabilidades listadas acima.
"Além disso, Os hackers chineses não são os únicos que visam esses dispositivos de rede específicos. Os dispositivos listados acima também foram alvo de atores estatais iranianos, de acordo com um relatório do setor privado de segurança cibernética e um alerta de segurança cibernética publicado pelo FBI no mês passado”, - relatam jornalistas da ZDNet.
Deixe-me lembrar que recentemente especialistas das empresas Crowdstrike e Dragos percebido que o iraniano “governo” hackers estão colocando à venda acesso às redes de empresas comprometidas, e fornecer acesso a outros grupos criminosos.
Recordo também que as autoridades dos EUA avisou de uma possível intensificação dos ataques de grupos de hackers iranianos ao setor público. Talvez o aviso deles fosse razoável.