Profi hálózati feltérképezés és helyi hozzáférési kísérletek
A támadások többsége ugyanabból az IP-címből indult (202.155.8.73), a bejelentkezés után pedig az elkövetők rendszerint helyi Windows-fiókokhoz próbáltak hozzáférni, illetve belső hálózati feltérképezést végeztek. Bár sok esetben gyorsan lekapcsolódtak, néhány esetben komolyabb hálózati mozgást is megfigyeltek. A vizsgálat szerint jelenleg nincs bizonyíték arra, hogy ezek az akciók összefüggenének a SonicWall legutóbbi, felhőalapú ügyfeleket érintő incidensével.
Mit lehet most tenni?
A jelszavakat és titkos adatokat AES-256 kód védi, ám ezek dekódolásával is csak titkosított formában férhetnek hozzá a támadók a rendszerekhez. A védekezés érdekében minden adminisztrátori és helyi jelszót, ideiglenes belépési kódot, szerveroldali hitelesítést, csoport- és alközponti VPN, valamint WAN interfész jelszavakat azonnal frissíteni kell. Javasolt ideiglenesen lekapcsolni az internetes menedzsmentet, valamint a HTTP-, HTTPS-, SSH- és SSL VPN-hozzáférést, amíg a titkos adatokat és jogosultságokat nem cserélték le. Ajánlott továbbá a kifelé mutató API-kulcsok, dinamikus DNS-, SMTP- és FTP-hozzáférések azonnali visszavonása, valamint minden adminisztrátori fiókhoz többfaktoros hitelesítés bevezetése. A szolgáltatások újraindítását csak szakaszosan, további gyanús aktivitás figyelésével szabad elvégezni.
