Спонсируемые государством хакеры теперь не являются чем-то новым в маршрутизаторах крупных брендов и другом сетевом оборудовании. Известная китайская киберпреступная группа BlackTech активно атакует маршрутизаторы Cisco для кражи конфиденциальных данных. Агентство национальной безопасности США (АНБ), Федеральное бюро расследований (ФБР) и Агентство кибербезопасности и безопасности инфраструктуры (CISA) вместе с японской полицией и органами кибербезопасности выпустили совместную рекомендацию, в которой подробно описывается деятельность BlackTech и даются рекомендации по смягчению последствий атак.

BlackTech, также известная как Palmerworm, Temp.Overboard, CircuitPanda и RadioPanda, действует с 2010 года. В отчете говорится, что эти киберпреступники родом из Китая и исторически преследовали организации, включая правительство, промышленность, средства массовой информации, электронику, телекоммуникации и оборонных подрядчиков в США и Восточной Азии.

Этот киберпреступник специализируется на разработке специального вредоносного ПО и «индивидуальных механизмов сохранения данных» для компрометации популярных марок маршрутизаторов. США и Япония предупреждают, что эти специально созданные вредоносные программы включают в себя такие опасные функции, как отключение ведения журналов, злоупотребление отношениями с доверенными доменами и компрометацию конфиденциальных данных. Предупреждение включает список конкретных штаммов вредоносного ПО, таких как BendyBear, Bifrose, SpiderPig и WaterBear, используемых для атак на операционные системы Windows, Linux и даже FreeBSD.

В сообщении не содержится никаких указаний на то, какой метод BlackTech использовал для получения первоначального доступа к устройству жертвы, который мог включать в себя обычные украденные учетные данные или даже какую-то неизвестную, «очень сложную» уязвимость безопасности нулевого дня. Оказавшись внутри, киберпреступники злоупотребляют интерфейсом командной строки (CLI) Cisco IOS, чтобы заменить официальную прошивку маршрутизатора скомпрометированным образом прошивки.

В сообщении предупреждается, что процесс начинается с изменения прошивки в памяти с помощью технологии «горячего исправления», которая является точкой входа, необходимой для установки модифицированного загрузчика и модифицированной прошивки. После установки модифицированная прошивка может обходить функции безопасности маршрутизатора, включать черный ход, не оставлять следов в журналах и обходить ограничения списка контроля доступа (ACL).

Чтобы обнаружить и пресечь вредоносную деятельность BlackTech, компаниям и организациям рекомендуется следовать некоторым «лучшим практикам смягчения последствий». ИТ-персонал должен отключать исходящие соединения, отслеживать входящие и исходящие соединения, ограничивать доступ и отслеживать журналы, применяя команду конфигурации «transportoutputnone» к линии виртуального телетайпа (VTY).

Организациям также следует обновлять сетевые устройства до последних версий встроенного ПО, менять все пароли и ключи, если есть опасения, что один пароль был скомпрометирован, выполнять регулярную проверку файлов и памяти и отслеживать изменения встроенного ПО. США и Япония выпустили предупреждения о взломах маршрутизаторов Cisco, однако методы, описанные в совместном сообщении, можно легко адаптировать к сетевому оборудованию других известных марок.

узнать больше:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a