Η Brightspeed, ένας από τους κορυφαίους παρόχους υποδομής ευρυζωνικών οπτικών ινών στην Αμερική, έχει γίνει το τελευταίο θύμα μιας σημαντικής κυβερνοεπίθεσης.
Η ομάδα απειλών γνωστή ως Crimson Collective έχει αναλάβει δημόσια την ευθύνη για παραβίαση των συστημάτων της εταιρείας και λήψη ευαίσθητων δεδομένων.
Η Brightspeed λειτουργεί σε 20 πολιτείες με υποδομή δικτύου ικανή να εξυπηρετήσει 7,3 εκατομμύρια σπίτια και επιχειρήσεις, καθιστώντας αυτή την παραβίαση θέμα ζωτικής σημασίας για τις εθνικές υποδομές.
Οι εισβολείς απέκτησαν μη εξουσιοδοτημένη πρόσβαση στα συστήματα της Brightspeed και απέσπασαν προσωπικά αναγνωρίσιμες πληροφορίες που ανήκαν τόσο σε πελάτες όσο και σε υπαλλήλους.
Η ομάδα απειλών ήρθε σε άμεση επαφή με ερευνητές κυβερνοασφάλειας και παρείχε αποδείξεις συμβιβασμού μοιράζοντας δείγματα των κλεμμένων δεδομένων.
Αυτή η προσέγγιση της δημόσιας ανακοίνωσης παραβιάσεων και της παροχής αποδεικτικών στοιχείων έχει γίνει μια κοινή τακτική μεταξύ των σύγχρονων παραγόντων απειλών που επιδιώκουν να μεγιστοποιήσουν την πίεση στους οργανισμούς στόχους και να ενισχύσουν τη φήμη τους στους εγκληματικούς κύκλους.
International Cyber Digest αναγνωρισθείς αυτό το περιστατικό ως μέρος ενός αναδυόμενου σχεδίου επιθέσεων που στοχεύουν παρόχους τηλεπικοινωνιών και ευρυζωνικών επικοινωνιών.
Αυτές οι επιθέσεις υποδομής αντιπροσωπεύουν μια σημαντική αλλαγή στις προτεραιότητες των παραγόντων απειλής, καθώς οι συμβιβαστικοί πάροχοι δικτύου παρέχουν στους εισβολείς πιθανή πρόσβαση σε συστήματα μεταγενέστερων πελατών και ευαίσθητη κίνηση επικοινωνιών.
Μηχανισμός μόλυνσης
Η κατανόηση του μηχανισμού μόλυνσης παρέχει μια εικόνα για το πώς η Crimson Collective κατάφερε να διεισδύσει στις άμυνες της Brightspeed.
Η ομάδα πιθανότατα χρησιμοποιούσε κοινά διανύσματα εισόδου, όπως μηνύματα ηλεκτρονικού “ψαρέματος” με κακόβουλα συνημμένα που στοχεύουν διαπιστευτήρια υπαλλήλων, εκμετάλλευση μη επιδιορθωμένων τρωτών σημείων σε εφαρμογές που αντιμετωπίζουν το Διαδίκτυο ή συμβιβασμούς στην αλυσίδα εφοδιασμού που επηρεάζουν διαχειριζόμενους παρόχους υπηρεσιών με πρόσβαση διαχειριστή στο δίκτυο της Brightspeed.
Μόλις δημιουργηθεί η αρχική πρόσβαση, οι εισβολείς θα είχαν μετακινηθεί πλευρικά μέσω του δικτύου, κλιμακώνοντας τα προνόμια και αναζητώντας συστήματα που περιέχουν πολύτιμα δεδομένα, όπως αρχεία πελατών και πληροφορίες εργαζομένων.
Η παραβίαση υπογραμμίζει κρίσιμα τρωτά σημεία στον τρόπο με τον οποίο οι εταιρείες τηλεπικοινωνιών προστατεύουν την ευαίσθητη υποδομή.
Οι οργανισμοί πρέπει να εφαρμόζουν έλεγχο ταυτότητας πολλαπλών παραγόντων σε όλα τα συστήματα, να διατηρούν αυστηρά προγράμματα διαχείρισης ενημερώσεων κώδικα και να παρακολουθούν την κυκλοφορία του δικτύου για ασυνήθιστα μοτίβα εξαγωγής δεδομένων.
Οι εργαζόμενοι χρειάζονται τακτική εκπαίδευση ευαισθητοποίησης σχετικά με την ασφάλεια για να αναγνωρίζουν εξελιγμένες προσπάθειες phishing που στοχεύουν παρόχους υποδομής.
Αυτό το περιστατικό χρησιμεύει ως υπενθύμιση ότι οι φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας αντιμετωπίζουν επίμονες απειλές από εξελιγμένους παράγοντες απειλών.
Η εμπειρία της Brightspeed υπογραμμίζει την ανάγκη για ολοκληρωμένες στρατηγικές ασφάλειας που εκτείνονται πέρα από τις παραδοσιακές περιμετρικές άμυνες και περιλαμβάνουν την τμηματοποίηση εσωτερικού δικτύου, προηγμένα συστήματα ανίχνευσης απειλών και σχεδιασμό απόκρισης συμβάντων ειδικά σχεδιασμένων για σενάρια κλοπής δεδομένων.
