image

NSA: spionagegroepen gebruiken deze technieken bij wereldwijde aanvallen

maandag 19 juli 2021, 15:26 door Redactie, 2 reacties

Vanuit China opererende spionagegroepen maken gebruik van een reeks technieken, tactieken en procedures om bij overheidsinstanties, bedrijven en onderwijsinstellingen in te breken, zo stellen de Amerikaanse geheime dienst NSA, de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security in een vandaag verschenen document (pdf).

Vandaag werden ook vier Chinese staatsburgers aangeklaagd die deel zouden uitmaken van één van deze groepen, aangeduid als APT40. Deze groep wordt verdacht van een jarenlange spionagecampagne gericht tegen overheidsinstanties, bedrijven en onderwijsinstellingen, waarbij allerlei handelsgeheimen en vertrouwelijke bedrijfsinformatie werd gestolen.

De Amerikaanse autoriteiten hebben nu een overzicht gegeven van technieken en tactieken die APT40 toepaste en die door Chinese spionagegroepen in het algemeen zouden worden toegepast. Bij de aanvallen wordt gebruik gemaakt van onder andere kwetsbaarheden in populaire applicaties zoals Pulse Secure VPN, Apache, F5 Big-IP en producten van Microsoft.

Deze beveiligingslekken worden soms enkele dagen nadat ze bekend zijn gemaakt aangevallen, aldus de NSA. Daarnaast maken de aanvallers ook gebruik van spearphishing, drive-by downloads via gecompromitteerde websites en typosquatting. Ook het gebruik van gecompromitteerde inloggegevens is een veel toegepaste techniek. Zodra er toegang tot een systeem is verkregen wordt geprobeerd het verdere netwerk te compromitteren en installeren de aanvallers allerlei soorten malware.

In het document geven de NSA, FBI en het CISA vervolgens ook adviezen en mitigatiemaatregelen om dergelijke aanvallen tegen te gaan, waaronder het tijdig installeren van beveiligingsupdates, het gebruik van multifactorauthenticatie, het uitschakelen van het remote desktop protocol (RDP) wanneer het niet wordt gebruikt, wat ook geldt voor PowerShell. Tevens wordt het laden van remote dll-bestanden afgeraden en wordt er uitgebreid geadviseerd over het monitoren van systemen en verkeer.

De drie Amerikaanse overheidsinstanties roepen organisaties op om de aanbevelingen in het document toe te passen en zo de kans op "kwaadaardige Chinese cyberactiviteiten" te verkleinen en de verdediging van vitale netwerken te versterken.

Image

Reacties (2)
19-07-2021, 17:02 door Anoniem
En ondertussen gebruiken ze zelf zero-days zonder ze bekend te maken bij de leveranciers.
Begrijpelijk, maar blijft hypocriet.
19-07-2021, 17:42 door Anoniem
Dat is zo leuk dat anderen dat ook kunnen en niet alleen hun.
Net zoals dat ze lekke encryptie erdoor willen pushen, dan blijkt opeens heel china alles te kunnen openen,
om het maar even in hun terminologie te houden gebruik ik ook even china.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.