Chinese cyberspionnen misbruiken routers wereldwijd

In dit artikel:

Een internationale groep van meer dan twintig veiligheids- en inlichtingendiensten — waaronder CISA, de Amerikaanse NSA en FBI plus Europese partners — waarschuwt voor een grootschalige, door de Chinese staat gesteunde cyberspionagecampagne die sinds 2021 wereldwijd actief is. Doelwitten zijn telecombedrijven, overheidsinstanties, transport- en defensiebedrijven en hotels; daarbij gebruiken de aanvallers vooral netwerkapparatuur bij de rand van netwerken.

In plaats van onbekende zero-days maken de hackers misbruik van publiek bekende kwetsbaarheden in apparatuur van leveranciers als Cisco, Palo Alto en Ivanti. Door kwetsbare routers en firewalls te compromitteren, aanpassingen in configuraties aan te brengen en extra beheerkanalen te openen, behouden ze langdurige toegang. Daarmee kunnen zij netwerkverkeer meelezen, accounts kapen en data exfiltreren via tunnels en versleutelde verbindingen.

Wat de campagne extra zorgwekkend maakt is het gebruik van ogenschijnlijk oninteressante organisaties als tussenstap: slecht beveiligde randapparatuur in elk bedrijf kan fungeren als springplank naar aantrekkelijkere doelwitten, waardoor het risico zich wijd verspreidt. De adviesnota benadrukt dat routers vaak over het hoofd worden gezien in beveiligingsbeleid, terwijl ze juist cruciaal zijn voor grootschalige datadiefstal.

De aanbevolen tegenmaatregelen zijn duidelijk: prioriteit geven aan patchen van routers en firewalls, beheer- en productie-netwerken sterk segmenteren, toegang tot beheerinterfaces beperken (bijv. MFA en whitelists) en continu configuraties en logs monitoren. Organisaties wordt aangeraden hun terrein van randapparatuur te inventariseren en snel technische en operationele hygiëne te verbeteren om verdere inbeslagname van netwerken te voorkomen.