Cybersicherheitsbehörden aus den Vereinigten Staaten und acht verbündeten Ländern haben eine Warnung veröffentlicht a joint advisory , dass russische staatlich unterstützte Hacker kritische Infrastruktur aktiv ins Visier nehmen, indem sie verwundbare, internetverbundene Geräte ausnutzen. Die Leitlinien geben Organisationen praktische Empfehlungen zur Stärkung ihrer Verteidigung gegen laufende Eindringlingskampagnen, die dem russischen Bundessicherheitsdienst (FSB) zugeschrieben werden.
Die Warnung wurde von der US National Security Agency (NSA), der Cybersecurity and Infrastructure Security Agency (CISA), dem Federal Bureau of Investigation (FBI) sowie Partnerbehörden aus Australien, Kanada, Estland, Finnland, Frankreich, Italien, Neuseeland und dem Vereinigten Königreich herausgegeben. Die Behörden führen die Aktivität dem FSB Center 16 zu, einer russischen Nachrichtendiensteinheit, die von Cybersicherheitsforschern auch als APT28 oder BlueDelta verfolgt wird.
Laut der Warnung konzentrieren sich die Angreifer auf internetorientierte Router und Netzwerk-Edge-Geräte, die entweder veraltet oder falsch konfiguriert sind. Sobald sie sich in einem Netzwerk befinden, versuchen sie, dauerhaften Zugang herzustellen, sich seitlich durch verbundene Systeme zu bewegen und sich für Informationsgewinnung oder zukünftige disruptive Operationen gegen kritische Infrastrukturen zu positionieren.
Die Behörden fordern Organisationen auf, nicht unterstützte Netzwerkgeräte zu ersetzen, Sicherheitsupdates zu installieren, sobald sie verfügbar sind, unnötige Internetdienste zu deaktivieren und eine starke Authentifizierung für Administratorkonten durchzusetzen. Administratoren werden außerdem ermutigt, operative Technologien aus den Unternehmens-IT-Netzwerken zu segmentieren, die Netzwerkaktivitäten kontinuierlich auf verdächtiges Verhalten zu überwachen und Gerätekonfigurationen auf unbefugte Änderungen zu überprüfen.
Die Leitlinien empfehlen, wo immer möglich phishing-resistente Mehrfaktor-Authentifizierung einzusetzen, administrative Rechte einzuschränken, Offline-Backups kritischer Konfigurationen zu führen und detaillierte Protokolle zu sammeln, um die Vorfallerkennung und forensischen Untersuchungen zu verbessern. Organisationen wird außerdem geraten, Standardzugangsdaten zu entfernen, Fernverwaltungsschnittstellen einzuschränken und regelmäßig Geräte zu prüfen, die dem Internet zugänglich sind.
Beamte erklärten, die Warnung solle Betreibern kritischer Infrastruktur helfen, die Wahrscheinlichkeit erfolgreicher Kompromittierungen zu verringern, da russische Cyberoperationen weiterhin Sektoren angreifen, die als strategisch wichtig gelten. Die Warnung gilt für Organisationen, die für wesentliche Dienstleistungen wie Energie, Wasser, Transport, Kommunikation, Gesundheitswesen und Regierungssysteme verantwortlich sind.