Агентство США по кибербезопасности и инфраструктурной безопасности (CISA) опубликовало документ, в котором подробно описывается, как хакеры, связанные с китайским правительством, могут с относительной легкостью компрометировать ИТ-системы в широком спектре отраслей промышленности и официальных организаций.
CISA с помощью Федерального бюро расследований США заявила [pdf], что они заметили, что хакеры, действующие в интересах Министерства государственной безопасности Китая, используют легкодоступную информацию и инструменты с открытым исходным кодом для идентификации и атаки неправильно сконфигурированных или непатченных систем.
Информация и инструменты находятся в репозиториях кода, таких как Github и Exploit-DB, где они законно публикуются для целей разработки и тестирования на проникновение.
Эти инструменты включают в себя набор утилит пентестинга Cobalt Strike, веб-оболочку China Chopper и программу захвата учетных данных учетной записи Mimikatz, сказал CISA.
Коммерческие инструменты также использовались китайскими хакерами MSS, которые также обращаются к сканированию сайтов, таких как Shodan.io для поиска уязвимых систем.
Спонсируемая государством методология угрозной активности наблюдается уже более десяти лет, и аналитики CISA отмечают, что хакеры быстро нацеливаются на уязвимости в течение нескольких дней после их раскрытия.
Недавние хорошо опубликованные серьезные уязвимости, которые были использованы китайскими хакерами, включают в себя те, которые затрагивают брандмауэры F5 Big-IP и балансировщики нагрузки, виртуальные частные сети Citrix и Pulse Secure, а также серверы обмена сообщениями Microsoft Exchange, сообщает CISA.
Поскольку хакерам легко быстро организовать атаки низкой сложности на сети с низким уровнем безопасности, CISA и ФБР рекомендуют организациям уделять повышенное внимание исправлению регулярно эксплуатируемых уязвимостей.
«Поддержание строгого цикла исправлений по-прежнему является лучшей защитой от наиболее часто используемых атак», — пишет CISA.
«Если критические уязвимости остаются незащищенными, субъекты киберугроз могут проводить атаки без необходимости разрабатывать собственные вредоносные программы и эксплойты или использовать ранее неизвестные уязвимости для нацеливания на сеть», — добавило агентство кибербезопасности.