США и международные партнеры публикуют консультативное предупреждение о киберактивности, спонсируемой государством КНР

Консультативная информация включает техническую информацию, которая поможет организациям искать вредоносную активность в своих сетях

Вашингтон – в кибербезопасности и безопасности инфраструктуры агентства (чиза), Агентство национальной безопасности (АНБ) и Федеральное бюро расследований (ФБР), наряду с австралийским сигналов управления Австралийский центр кибербезопасности (АКМП), безопасности коммуникаций учреждения канадского Центра по кибербезопасности (ООД), новозеландской национальной кибербезопасности Центра (ННКЦ-НЗ) и Великобритании национальной кибербезопасности Центра (ННКЦ-УК) публикуем совместной кибербезопасности консультативной , что сегодня акции, технические подробности о вредоносной активности с помощью народной республики (КНР) при поддержке государства кибер актер. Это консультативное предупреждение предоставляет сообществу кибербезопасности и организациям критической инфраструктуры новое представление о конкретных тактиках, методах и процедурах, используемых кибер-субъектами КНР для получения и поддержания постоянного доступа к сетям критической инфраструктуры.

В консультативном заключении подчеркивается, как киберпреступники КНР используют методы, называемые “жить за счет суши”, чтобы избежать обнаружения. Используя законные инструменты сетевого администрирования, злоумышленник сливается с обычными системными и сетевыми действиями, избегает идентификации многими продуктами обнаружения конечных точек и реагирования (EDR) и ограничивает объем активности, регистрируемой в обычных конфигурациях ведения журнала.

“В течение многих лет Китай проводил агрессивные кибероперации с целью кражи интеллектуальной собственности и конфиденциальных данных у организаций по всему миру”, – сказала Джен Истерли, директор CISA. “Сегодняшнее консультативное сообщение подчеркивает продолжающееся использование Китаем сложных средств для нападения на критически важную инфраструктуру нашей страны, и это дает сетевым защитникам важную информацию о том, как обнаружить и смягчить последствия этой вредоносной деятельности. Являясь национальным агентством по киберзащите, CISA готова поддержать наших партнеров в защите критически важных служб, на которые наши граждане полагаются каждый день, от угрозы сбоев. Мы призываем все организации ознакомиться с рекомендациями, принять меры по снижению риска и сообщать о любых свидетельствах аномальной активности. Мы должны работать вместе, чтобы обеспечить безопасность и устойчивость нашей критически важной инфраструктуры ”.

“Киберпреступникам проще и эффективнее использовать возможности, уже встроенные в критически важные инфраструктурные среды. Спонсируемый государством субъект КНР живет за счет земли, используя встроенные сетевые инструменты для обхода нашей защиты и не оставляя после себя никаких следов ”, – сказал Роб Джойс, директор по кибербезопасности АНБ. “Это делает крайне важным для нас совместную работу по поиску и удалению злоумышленника из наших критически важных сетей”.

“ФБР продолжает предостерегать от участия Китая в злонамеренной деятельности с намерением атаковать организации критически важной инфраструктуры и использовать идентифицированные методы для маскировки их обнаружения”, – сказал Брайан Ворндран, помощник директора кибер-отдела ФБР. “Мы, вместе с нашими федеральными и международными партнерами, не позволим КНР продолжать использовать эту неприемлемую тактику. ФБР стремится делиться информацией с нашими партнерами из частного сектора и общественностью, чтобы они могли лучше защитить себя от этой целенаправленной вредоносной деятельности ”.

“Жизненно важно, чтобы операторы критически важной национальной инфраструктуры принимали меры для предотвращения укрывательства злоумышленников в своих системах, как описано в этом совместном с нашими международными партнерами консультативном заключении”, – сказал Пол Чичестер, операционный директор NCSC. “Мы настоятельно рекомендуем поставщикам основных услуг Великобритании следовать нашим рекомендациям, чтобы помочь обнаружить эту вредоносную активность и предотвратить постоянную компрометацию”.

“Канадский центр кибербезопасности (часть Учреждения по безопасности коммуникаций) присоединяется к своим международным партнерам в распространении этой недавно выявленной угрозы и сопутствующих мерах по смягчению последствий с критически важными секторами инфраструктуры, – сказал Сами Хури, глава Канадского центра кибербезопасности. “Взаимосвязанный характер наших инфраструктур и экономик подчеркивает важность совместной работы с нашими союзниками по выявлению информации об угрозах и обмену ею в режиме реального времени”.

CSA предоставляет техническую информацию, которая может быть использована сетевыми защитниками для выявления вредоносной киберактивности в их сети, включая краткое изложение соответствующих показателей компрометации (IOC) для быстрого ознакомления. Рекомендуемые меры по смягчению последствий соответствуют межсекторальным целям эффективности кибербезопасности (CPGS), разработанным CISA, чтобы помочь организациям расставить приоритеты в своих инвестициях для наиболее эффективного снижения риска. CISA и наши партнеры продолжат предоставлять целевые рекомендации и возможности, чтобы помочь организациям справиться с риском постоянного доступа злоумышленников, использующих методы “жизни за пределами земли”, в том числе посредством нашего удаленного мониторинга и планирования управления, которое в настоящее время предпринимает Совместная организация по киберзащите (JCDC).

CISA, АНБ, ФБР и международные партнеры призывают правительства США и союзных государств, критически важную инфраструктуру и организации частного сектора применять рекомендуемые меры по смягчению последствий для укрепления своей защиты и снижения угрозы компрометации со стороны злоумышленников, спонсируемых государством КНР. киберпреступники. Для получения дополнительной информации о киберугрозах КНР посетите Обзор и рекомендации по киберугрозам в Китае.

Все организации должны делиться с CISA информацией об инцидентах кибербезопасности и аномальной активности. Самый простой способ – обратиться к CISA.gov и нажмите кнопку “сообщить о киберпреступности” прямо вверху. Вы также можете связаться с оперативным центром CISA 24/7 по адресу report@cisa.gov или (888) 282-0870 и / или в ФБР через ваш местный полевой офис ФБР или круглосуточную службу CyWatch ФБР по телефону (855) 292-3937 или CyWatch@fbi.gov.