Meerdere grote telecom- en netwerkproviders zijn doelwit geworden van aanvallers die netwerkverkeer weten te onderscheppen en stelen, zo waarschuwen de Amerikaanse geheime dienst NSA, de FBI en het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security.

Daarbij zoeken de aanvallers, die volgens de Amerikaanse autoriteiten door de Chinese overheid worden gesponsord, naar bekende kwetsbaarheden in netwerkapparatuur van Cisco, Fortinet en MikroTik. Hiervoor wordt gebruikgemaakt van opensourcetools zoals RouterSploit en RouterScan waarmee kwetsbaarheden in netwerkapparatuur is te misbruiken.

Zodra er toegang tot het telecombedrijf is verkregen zoeken de aanvallers naar de Remote Authentication Dial-In User Service (RADIUS) server en proberen vervolgens de inloggegevens uit de RADIUS-database te stelen. Met de inloggegevens van de RADIUS-servers loggen de aanvallers in op Cisco- en Juniper-routers en voeren daar commando's uit en verzamelen informatie over de routerconfiguratie.

Met de geldige accounts en inloggegevens van de gecompromitteerde RADIUS-server en verkregen routerconfiguraties kunnen de aanvallers vervolgens het netwerk van het telecombedrijf onderscheppen, vastleggen en doorsturen naar de eigen infrastructuur. Dergelijke aanvallen tegen telecombedrijven en netwerkinfrastructuur zouden zeker sinds 2020 plaatsvinden, zo stellen de Amerikaanse diensten.

Om dergelijke aanvallen te voorkomen krijgen organisaties het advies om al hun apparatuur en systemen up-to-date te houden, een gecentraliseerd patchmanagementsysteem te overwegen en gecompromitteerde apparatuur meteen van het netwerk te verwijderen of te isoleren. Verder wordt het gebruik van multifactorauthenticatie voor vpn-verbindingen aangeraden en het uitschakelen van onnodige of ongebruikte netwerkdiensten, poorten, protocollen en apparaten.