CISA đã kêu gọi các nhà sản xuất bộ định tuyến văn phòng nhỏ/văn phòng gia đình (SOHO) đảm bảo an ninh cho thiết bị của họ trước các cuộc tấn công đang diễn ra nhằm chiếm đoạt chúng, đặc biệt là các cuộc tấn công do nhóm hack Volt Typhoon (Bronze Silhouette) được nhà nước Trung Quốc hậu thuẫn điều phối.
Cụ thể hơn, trong hướng dẫn mới được tạo ra với sự trợ giúp của FBI, hai cơ quan yêu cầu các nhà cung cấp loại bỏ các lỗ hổng trong giao diện quản lý web bộ định tuyến SOHO (WMI) trong giai đoạn thiết kế và phát triển.
Họ cũng được khuyến khích điều chỉnh cấu hình mặc định của bộ định tuyến để tự động cập nhật bảo mật, yêu cầu ghi đè thủ công khi tắt cài đặt bảo mật và chỉ cho phép truy cập vào WMI của bộ định tuyến từ các thiết bị được kết nối với mạng cục bộ.
Các tác nhân đe dọa đang xâm phạm nhiều thiết bị như vậy, lợi dụng số lượng lớn bộ định tuyến SOHO được người Mỹ sử dụng và sử dụng chúng làm bệ phóng trong các cuộc tấn công nhắm vào các tổ chức cơ sở hạ tầng quan trọng của Hoa Kỳ.
“CISA và FBI đang thúc giục các nhà sản xuất bộ định tuyến SOHO xây dựng tính bảo mật trong thiết kế, phát triển và bảo trì bộ định tuyến SOHO nhằm loại bỏ con đường mà các tác nhân đe dọa này đang thực hiện để (1) xâm phạm các thiết bị này và (2) sử dụng các thiết bị này làm bệ phóng để tấn công. tiếp tục xâm phạm các thực thể cơ sở hạ tầng quan trọng của Hoa Kỳ”, cơ quan an ninh mạng cho biết.
“CISA và FBI cũng kêu gọi các nhà sản xuất bảo vệ khỏi hoạt động của Volt Typhoon và các mối đe dọa mạng khác bằng cách tiết lộ các lỗ hổng thông qua chương trình Các lỗ hổng và phơi nhiễm chung (CVE) cũng như bằng cách cung cấp phân loại Chính xác về liệt kê điểm yếu chung (CWE) cho các lỗ hổng này.
“Cảnh báo cũng kêu gọi các nhà sản xuất thực hiện các cơ cấu khuyến khích ưu tiên bảo mật trong quá trình thiết kế và phát triển sản phẩm.”
Volt Typhoon liên kết với botnet bộ định tuyến SOHO
Các cuộc tấn công Volt Typhoon nhắm vào các bộ định tuyến SOHO được CISA đề cập trong cảnh báo hôm nay có thể đề cập đến phần mềm độc hại KV-botnet có liên quan đến gián điệp mạng Trung Quốc vào tháng 12. Chúng đã nhắm mục tiêu vào các thiết bị như vậy kể từ ít nhất là tháng 8 năm 2022.
Một cố vấn của chính phủ Hoa Kỳ vào tháng 6 năm 2023 đã đánh giá rằng nhóm đe dọa đang nỗ lực xây dựng cơ sở hạ tầng có thể được sử dụng để phá vỡ cơ sở hạ tầng liên lạc trên khắp Hoa Kỳ.
Một báo cáo trước đó của Microsoft tiết lộ rằng các tin tặc nhà nước do Trung Quốc hậu thuẫn đã nhắm mục tiêu và xâm nhập các tổ chức cơ sở hạ tầng quan trọng của Hoa Kỳ ít nhất là từ giữa năm 2021, bao gồm cả Guam, hòn đảo có nhiều căn cứ quân sự của Hoa Kỳ.
Volt Typhoon được biết đến với việc thường nhắm mục tiêu vào các bộ định tuyến, tường lửa và thiết bị VPN để ủy quyền lưu lượng độc hại, trộn nó với lưu lượng truy cập hợp pháp để tránh bị phát hiện trong các cuộc tấn công. Theo nhóm Lumen Technologies Black Lotus Labs, tin tặc nhắm mục tiêu vào tường lửa Netgear ProSAFE, Cisco RV320s, bộ định tuyến DrayTek Vigor và camera Axis IP.
Lumen cho biết: “Chiến dịch này lây nhiễm vào các thiết bị ở rìa mạng, một phân khúc nổi lên như một điểm yếu trong hệ thống phòng thủ của nhiều doanh nghiệp, kết hợp với việc chuyển sang làm việc từ xa trong những năm gần đây”.
Mạng truyền dữ liệu bí mật được xây dựng với sự trợ giúp của KV-botnet đã được sử dụng trong các cuộc tấn công nhắm vào nhiều tổ chức, bao gồm các thực thể quân sự, nhà cung cấp dịch vụ viễn thông và internet của Hoa Kỳ, một thực thể chính phủ lãnh thổ của Hoa Kỳ ở Guam và một công ty năng lượng tái tạo của Châu Âu. .
Theo Reuters, chính phủ Mỹ được cho là đã dỡ bỏ một phần cơ sở hạ tầng của Volt Typhoon trong những tháng gần đây.
Theo bleepingcomputer
