Gezamenlijk advies waarschuwt voor door de VRC gesteunde cyberspionage gericht op telecomnetwerken

Een gezamenlijk advies uitgegeven door Australië, Canada, Nieuw-Zeeland en de VS heeft gewaarschuwd voor een brede cyberspionagecampagne ondernomen door aan de Volksrepubliek China (VRC) gelieerde dreigingsactoren die zich richten op telecommunicatieaanbieders.

“Geïdentificeerde uitbuitingen of compromissen die verband houden met de activiteiten van deze bedreigingsactoren sluiten aan bij bestaande zwakheden die verband houden met de slachtofferinfrastructuur; er zijn geen nieuwe activiteiten waargenomen”, aldus overheidsinstanties.

Amerikaanse functionarissen vertelden dinsdag dat de dreigingsactoren nog steeds op de loer liggen binnen Amerikaanse telecommunicatienetwerken, ongeveer zes maanden nadat een onderzoek naar de inbraken was begonnen.

De aanvallen zijn toegeschreven aan een natiestaatgroep uit China, gevolgd als Salt Typhoon, die overlapt met activiteiten die worden gevolgd als Earth Estries, FamousSparrow, GhostEmperor en UNC2286. Het is bekend dat de groep in ieder geval sinds 2020 actief is, waarbij sommige artefacten al in 2019 zijn ontwikkeld.

Vorige week erkende T-Mobile dat het pogingen van kwaadwillenden had gedetecteerd om zijn systemen te infiltreren, maar merkte op dat er geen klantgegevens waren benaderd.

Het nieuws over de aanvalscampagne kwam eind september voor het eerst naar buiten, toen The Wall Street Journal meldde dat de hackploeg een aantal Amerikaanse telecommunicatiebedrijven had geïnfiltreerd als onderdeel van pogingen om gevoelige informatie te verzamelen. China heeft de beschuldigingen afgewezen.

Om de aanvallen tegen te gaan, hebben cyberbeveiligings- en inlichtingendiensten richtlijnen uitgegeven over de beste praktijken die kunnen worden aangepast om bedrijfsnetwerken te versterken –

  • Onderzoek en onderzoek eventuele configuratiewijzigingen of wijzigingen aan netwerkapparaten zoals switches, routers en firewalls
  • Implementeer een krachtige oplossing voor netwerkstroombewaking en netwerkbeheermogelijkheden
  • Beperk de blootstelling van managementverkeer aan internet
  • Controleer aanmeldingen van gebruikers en serviceaccounts op afwijkingen
  • Implementeer veilige, gecentraliseerde logboekregistratie met de mogelijkheid om grote hoeveelheden gegevens uit verschillende bronnen te analyseren en te correleren
  • Zorg ervoor dat het apparaatbeheer fysiek geïsoleerd is van de klant- en productienetwerken
  • Dwing een strikte, standaard ontkennende ACL-strategie af om inkomend en uitgaand verkeer te controleren
  • Maak gebruik van sterke netwerksegmentatie via het gebruik van router-ACL’s, stateful packet inspection, firewallmogelijkheden en gedemilitariseerde zone-constructies (DMZ)
  • Beveilig Virtual Private Network (VPN)-gateways door externe blootstelling te beperken
  • Zorg ervoor dat verkeer zoveel mogelijk end-to-end-versleuteld is en dat Transport Layer Security (TLS) v1.3 wordt gebruikt op alle TLS-compatibele protocollen om gegevens tijdens de overdracht via een netwerk te beveiligen
  • Schakel alle onnodige detectieprotocollen uit, zoals Cisco Discovery Protocol (CDP) of Link Layer Discovery Protocol (LLDP), evenals andere exploiteerbare services zoals Telnet, File Transfer Protocol (FTP), Trivial FTP (TFTP), SSH v1, Hypertext Transfer Protocolservers (HTTP) en SNMP v1/v2c
  • Schakel Internet Protocol (IP)-bronroutering uit
  • Zorg ervoor dat er geen standaardwachtwoorden worden gebruikt
  • Bevestig de integriteit van de gebruikte software-image met behulp van een vertrouwd hulpprogramma voor hashingberekening, indien beschikbaar
  • Voer poortscans en scans uit van bekende internetgerichte infrastructuur om ervoor te zorgen dat er geen extra services toegankelijk zijn via het netwerk of via internet
  • Houd toezicht op aankondigingen over het einde van de levensduur (EOL) van leveranciers voor hardwareapparaten, besturingssysteemversies en software, en upgrade zo snel mogelijk
  • Bewaar wachtwoorden met veilige hash-algoritmen
  • Vereis phishing-bestendige meervoudige authenticatie (MFA) voor alle accounts die toegang hebben tot bedrijfssystemen
  • Beperk de duur van sessietokens en zorg ervoor dat gebruikers zich opnieuw moeten verifiëren wanneer de sessie verloopt
  • Implementeer een op rollen gebaseerde toegangscontrole (RBAC)-strategie, verwijder alle onnodige accounts en controleer periodiek accounts om te verifiëren dat ze nog steeds nodig zijn

“Het patchen van kwetsbare apparaten en diensten, evenals het in het algemeen beveiligen van omgevingen, zal de kansen op inbraak verminderen en de activiteit van de actoren beperken”, aldus de waarschuwing.

De ontwikkeling komt te midden van escalerende handelsspanningen tussen China en de VS, waarbij Peking de export van cruciale mineralen gallium, germanium en antimoon naar Amerika verbiedt als reactie op het harde optreden van laatstgenoemde tegen de Chinese halfgeleiderindustrie.

Eerder deze week kondigde het Amerikaanse ministerie van Handel nieuwe beperkingen aan die tot doel hebben China’s vermogen te beperken om halfgeleiders met geavanceerde knooppunten te produceren die in militaire toepassingen kunnen worden gebruikt, naast het beperken van de export naar 140 entiteiten.

Terwijl Chinese chipfabrikanten sindsdien hebben beloofd toeleveringsketens te lokaliseren, hebben brancheverenigingen in het land binnenlandse bedrijven gewaarschuwd dat Amerikaanse chips ‘niet langer veilig’ zijn.

Thijs Van der Does