Глобальная атака методом перебора паролей затронула миллионы сетевых устройств по всему миру, в том числе в России. Киберэксперт рассказал, как защитить сетевые устройства.
По данным Shadowserver (организации, которая занимается мониторингом сетей и борьбой с киберпреступностью), злоумышленники используют почти 2,8 миллиона IP-адресов ежедневно в попытках подобрать учетные данные к устройствам Palo Alto Networks, Ivanti, SonicWall и других производителей.
Атакующие IP-адреса находятся в Бразилии, Турции, России, Аргентине, Марокко и Мексике. Вектором нападения стали пограничные устройства безопасности — межсетевые экраны, VPN-шлюзы и прочие решения, обеспечивающие удаленный доступ.
По информации Shadowserver, атака длится уже несколько недель, но недавно активность резко возросла. В атаках задействованы маршрутизаторы и IoT-устройства от MikroTik, Huawei, Cisco, Boa и ZTE, часто используемые в ботнетах. Применение таких устройств в атаке указывает на возможное участие крупной сети заражённых узлов или сервисов резидентных прокси.
Резидентные прокси позволяют злоумышленникам скрывать свою активность, используя IP-адреса реальных пользователей интернет-провайдеров. Это усложняет обнаружение и блокировку атакующих, так как их действия выглядят, как обычный трафик. Хакеры могут направлять вредоносные запросы через корпоративные сети, используя их, как узлы выхода.
«Без надежной аутентификации и авторизации злоумышленники могут получать доступ к критически важной инфраструктуре компании, что может привести к серьезным последствиям. Резидентные прокси могут быть использованы для маскировки, однако это не означает гарантированного успешного проникновения в систему. NAC-модуль (Network Access Control) способен обеспечить защиту, применяя многоуровневую проверку доступа и мониторинг сетевой активности, — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.
