Хакерська група, пов’язана з китайською владою, організовує широкомасштабні атаки на маршрутизатори Cisco, встановлені в критично важливих секторах Сполучених Штатів. Атаки, які тривають вже певний час, викликали тривогу в американських і японських службах безпеки, а також у правоохоронних органах.

Низка спецслужб та відомств, такі як АНБ та ФБР, а також правоохоронні органи США і Японії спільно опублікували всеосяжний звіт, в якому описали масштаб і серйозність цієї загрози. У звіті визначено різні штами шкідливого програмного забезпечення, які використовує хакерська група, зокрема BendyBear, Bifrose, SpiderPig і WaterBear, призначені для ураження різних операційних систем, включаючи Windows, Linux і FreeBSD.

Група, відповідальна за ці кібератаки, відома як BlackTech або під такими псевдонімами, як Palmerworm, Temp.Overboard, Circuit Panda і Radio Panda, займається цією діяльністю з 2010 року.

Як працюють хакери

• Спосіб дій BlackTech полягає у проникненні до філій компаній у невеликих містах.
• Для цього вони часто використовуючи потенційно слабкіші системи захисту.
• Отримавши доступ до цих локальних мереж, хакери переорієнтовуються на мережі материнських організацій.

Їхні цілі охоплюють державний сектор, компанії з державною участю, а також підприємства, що працюють у таких галузях, як інформаційні технології, телекомунікації та електроніка.

Спецслужби поки не знають, як хакерам це вдається

Точні методи, які застосовує BlackTech для отримання початкового доступу до пристроїв-жертв, залишаються нерозкритими: від крадіжки облікових даних співробітників до використання надскладних вразливостей «нульового дня».

• Потрапивши на цільові системи, кіберзлочинці використовують техніку, відому як «гаряче виправлення», для модифікації прошивки в пам’яті, що є ключовим кроком для встановлення скомпрометованого завантажувача та мікропрограми.

• Ця модифікована прошивка дозволяє хакерам обходити захист маршрутизатора, встановлювати приховані бекдори, не залишаючи слідів у системних журналах, і перевизначати списки контролю доступу (ACL).

Щоб уникнути виявлення, BlackTech застосовує низку тактик, включаючи відключення реєстрації на скомпрометованих пристроях і використання викрадених сертифікатів підпису коду для підписання ROM-файлів.

Група також використовує спеціалізовані UDP і TCP-пакети для активації та деактивації бекдорів SSH на маршрутизаторах Cisco через непередбачувані проміжки часу, що ще більше приховує їхню діяльність від системних адміністраторів.

Ситуація ускладнюється тим, що Cisco зазнає критики за нездатність підтримувати своє застаріле обладнання та ігнорування відомих вразливостей у своїх маршрутизаторах. Зокрема, Cisco відмовилася випускати патчі для небезпечних вразливостей, таких як CVE-2022-20923 і CVE-2023-20025, в маршрутизаторах, які вже давно вичерпали свій життєвий цикл підтримки. Такі рішення створюють додаткові ризики для користувачів і відкривають можливості для використання кіберзлочинцями.

Що робити. На тлі цих подій організаціям і компаніям рекомендується впроваджувати оптимальні стратегії зменшення ризиків. Це включає блокування вихідних з’єднань за допомогою команди конфігурації «transport output none» для ліній віртуального телетайпу (VTY), моніторинг усіх з’єднань, впровадження обмежень доступу та ведення вичерпних журналів подій для виявлення та запобігання зловмисній діяльності, пов’язаній з хакерською групою BlackTech.

Источник: 24tv.ua