Een groep wereldwijde inlichtingendiensten waarschuwt telecomproviders en andere sectoren voor gehackte routers door China.
Een wereldwijd samenwerkingsverband van inlichtingendiensten waarschuwt voor gehackte routers die actief worden aangevallen door hackers die door de Chinese overheid gesteund worden. De cyberaanvallen zijn gericht op langdurige toegang tot systemen via onder meer backbonerouters, centrale systemen en consumentenrouters en richten zich op sectoren waaronder telecom en defensie. De inlichtingendiensten raden aan om zo snel mogelijk bepaalde kwetsbaarheden te verhelpen.
Gehackte routers
Volgens America’s Cyber Defense Agency viseren de cyberdreigingsactoren gelinkt aan China wereldwijd netwerken in sectoren zoals telecom, transport, overheid en defensie. Deze actoren zouden zich onder meer richten op grote backbone-routers, provider edge-routers en klantgerichte netwerkinfrastructuur. De aanvallen gebeuren via aanpassingen aan netwerkapparatuur en misbruik van vertrouwde verbindingen, met als doel langdurige, moeilijk te detecteren toegang tot interne systemen.
De betrokken actoren vallen volgens de beveiligingsindustrie onder verschillende benamingen, waaronder Salt Typhoon, OPERATOR PANDA, RedMike en GhostEmperor. Overheden gebruiken in het rapport de overkoepelende term ‘Advanced Persistent Threats’ (APT). De activiteit werd opgemerkt in onder meer de Verenigde Staten, Canada, het Verenigd Koninkrijk, Australië, Nieuw-Zeeland en ook in Europese landen zoals Duitsland, Finland en Nederland.
Internationale waarschuwing
Uit de onderzoeken blijkt dat de APT-actoren vooral gebruikmaken van publiek bekende kwetsbaarheden en andere vermijdbare zwakheden in netwerkinfrastructuur. Tot nu toe is er geen misbruik vastgesteld van zero-day-kwetsbaarheden, maar de dreigingsactoren passen hun tactieken voortdurend aan en breiden het gebruik van bestaande kwetsbaarheden uit. Daarbij worden apparaten geviseerd zoals firewalls van Fortinet, Juniper en SonicWall, routers en switches van Nokia, Microsoft Exchange-servers en Sierra Wireless-apparaten.
De actoren benutten infrastructuren zoals virtual private servers en gecompromitteerde tussenliggende routers om toegang te krijgen tot netwerken van onder meer telecomproviders. Ze misbruiken kwetsbaarheden zoals CVE-2024-21887 en CVE-2023-46805 (Ivanti Connect Secure), CVE-2024-3400 (Palo Alto Networks PAN-OS GlobalProtect), CVE-2023-20198 en CVE-2023-20273 (Cisco IOS XE) en CVE-2018-0171 (Cisco IOS).
In sommige gevallen zetten ze technieken in zoals dubbele codering van verzoeken, verkeersspiegeling of tunneling via GRE/IPsec om verkeer om te leiden of te observeren. Ook edge-apparaten van organisaties die niet het hoofddoel zijn, worden ingezet als springplank naar andere netwerken via vertrouwde verbindingen tussen providers.
De inlichtingendiensten roepen organisaties op om verdachte activiteit proactief op te sporen en melding te maken van compromittering bij bevoegde autoriteiten.