Információszerzésre irányuló fokozott kibertevékenység

A Nemzeti Kibervédelmi Intézet tájékoztatót ad ki Információszerzésre irányuló fokozott kibertevékenységgel kapcsolatban.

2018. április 16-án a US-CERT, az amerikai Belbiztonsági Minisztérium (DHS) és Szövetségi Nyomozó Iroda (FBI), valamint az Egyesült Királyság Nemzeti Kibervédelmi Központja (NCSC) által végzett közös kutatásának eredményét tartalmazó technikai riasztást tett közzé
[1]. A kutatás tárgya, a feltételezhetően Orosz támogatottságú szervezetek érzékeny információk megszerzésére irányuló tevékenységének technikai ismertetése. Az információszerzés célpontjai leginkább a kormányzati szervezetek, a kritikus infrastruktúrák és az internet szolgáltatók.

A támadások során jellemzően az alábbi engedélyezett eszközök jelenlétét vizsgálják a támadók, amelyeken keresztül végrehajthatnak támadásokat:

  • Generic Routing Encapsulation (GRE)
  • Cisco Smart Install (SMI)
  • Simple Network Management Protocol (SNMP)

A technikai riasztásban javasolt általános intézkedések:

  • Kerülendő a titkosítatlan kommunikációs protokollok (pl. Telnet, SMI [2], SNMPv1, v2c) internet irányából történő engedélyezése. Helyettük a HTTPS, SSH, SNMPv3 vagy TLS protokollok használata ajánlott. Amennyiben mégis szükséges, úgy alkalmazzunk titkosított VPN (Virtual Private Network) kapcsolatot a belső hálózatok és a menedzselhető hálózati eszközök internet felöli eléréséhez.
  • Blokkoljuk a TFTP protokollt az internet irányába, hogy a belső hálózatról ne lehessen elérni távoli kiszolgálókat (hosts).
  • Folyamatosan figyelemmel kell kísérni a használt hálózati eszközökre kiadott legújabb frissítéseket, és amennyiben kompatibilis a kialakított rendszerekkel telepítsük őket.
  • A gyári azonosítók helyett javallott erős jelszó házirendek alkalmazásával egyedi jelszavakat használni minden eszköznél. Továbbá, ott ahol lehet, használjuk a kétfaktoros azonosítást.

Hivatkozások:

  1. https://www.us-cert.gov/ncas/alerts/TA18-106A
  2. http://www.cisco.com/c/en/us/td/docs/switches/lan/smart_install/configuration/guide/smart_install/concepts.html#23355