Közös figyelmeztetés kínai botnet műveletre
A Nemzetbiztonsági Ügynökség (NSA) a Szövetségi Nyomozó Irodával (FBI), az Egyesült Államok Kiberparancsnokság Cyber National Mission Force-al (CNMF) és nemzetközi szövetségeseivel együtt új információkat tett közzé a Kínai Népköztársasággal kapcsolatban álló kiberszereplőkről, akik világszerte kompromittálták az internetre csatlakoztatott eszközöket, hogy botnetet hozzanak létre és rosszindulatú tevékenységet folytassanak. Az ügynökségek által kiadott kiberbiztonsági figyelmeztetés (CSA) rávilágít a kiberszereplők és általuk használt botnetek által jelentett veszélyre. „A botnet több ezer amerikai eszközt foglal magába, amelyek áldozatai számos ágazatban tevékenykednek” – mondta Dave Luber, az NSA kiberbiztonsági igazgatója. „A tanácsadás új és időszerű betekintést nyújt a botnet infrastruktúrájába, a kompromittált eszközök elhelyezkedésének országaiba, valamint az eszközök védelmére és a fenyegetés kiküszöbölésére irányuló enyhítő intézkedésekbe.” A kompromittált internetre csatlakoztatott eszközök közé tartoznak a SOHO routerek, tűzfalak, hálózati tárolók (NAS) és IoT eszközök, például webkamerák, DVR-ek és IP-kamerák. A CSA szerint 2024 júniusában a botnet több mint 260 000 eszközből állt Észak-Amerikában, Európában, Afrikában és Délkelet-Ázsiában.
A CSA szerzői a következő enyhítő intézkedéseket javasolják:
- Rendszeres javítások és frissítések alkalmazása, megbízható szolgáltatók automatikus frissítéseinek használatával, amennyiben azok rendelkezésre állnak.
- A nem használt szolgáltatások és portok, például az automatikus konfigurációt, a távoli hozzáférést vagy a fájlmegosztó protokollok tiltása.
- Az alapértelmezett jelszavakat cseréje.
- A hálózat szegmentálása a legkisebb jogosultság elve alapján.
- A DDoS incidensek észlelése és mérséklése érdekében a hálózati forgalom figyelése.
- Az eszközök rendszeres újraindítását a nem perzisztens rosszindulatú programok eltávolítása érdekében.
- Az end-of-life eszközök cseréje támogatott eszközökre.
