Enkele tientallen inlichtingendiensten, waaronder de Nederlandse MIVD en AIVD, waarschuwen telecomproviders van over de hele wereld voor gehackte routers. Deze 'backbonerouters' zouden actief worden aangevallen door hackers die door de Chinese overheid gesponsord zijn.
Het Amerikaanse Cybersecurity & Infrastructure Agency meldt in samenwerking met uiteenlopende inlichtingendiensten dat met deze aanvallen mogelijk wereldwijde spionagenetwerken kunnen worden opgezet. Het zou gaan om aanvallen op backbonerouters, centrale systemen van telecomproviders, maar ook op consumentenrouters.
Voor dergelijke cyberaanvallen worden kwetsbaarheden in veelgebruikte systemen van onder meer Ivanti Connect, Palo Alto Networks en Cisco misbruikt. De inlichtingendiensten vermoeden dat ook firewalls van Fortinet en Juniper, Microsoft Exchange, routers en switches van Nokia en apparaten van Sierra Wireless doelwit zijn. Na het binnendringen in een dergelijk ecosysteem proberen de Chinese hackers naar verluidt persistente toegang te forceren, waarbij de aanvallers proberen om onopgemerkt toegang te behouden.
De diensten roepen wereldwijd telecomproviders op om bepaalde kwetsbaarheden zo snel mogelijk te verhelpen, waaronder CVE-2024-21887, CVE-2024-3400, CVE-2023-20273, CVE-2023-20198 en CVE-2018-0171. Daarnaast worden uiteenlopende kenmerken van de betreffende aanvalstechniek gedeeld, waaronder het gebruik van bepaalde commands en verbindingen met specifieke IP-adressen. De diensten delen ook tips voor 'threat hunting', het opsporen van cyberaanvallen. Organisaties worden bijvoorbeeld geadviseerd om aanpassingen aan configuraties in de gaten te houden, virtualized containers te verifiëren en netwerkcomponenten zoals services, tunnels, firmware en logs te controleren.
De waarschuwing is onder meer ondertekend door de Amerikaanse inlichtingendiensten CISA, FBI en NSA, maar ook door de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst en de Algemene Inlichtingen- en Veiligheidsdienst, en veiligheidsdiensten van Finland, Duitsland, Polen, Spanje, Canada, Australië en het Verenigd Koninkrijk.
Update, 28-08 - 'America's Cyber Defense Agency' is veranderd naar het Cybersecurity & Infrastructure Security Agency