Агенции за киберсигурност от Япония и САЩ предупредиха за атаки, организирани от подкрепяна от държавата хакерска група от Китай, която тайно подменя рутерите на клонове и ги използва като отправни точки за достъп до мрежите на различни компании в двете страни.
Атаките са свързани със злонамерен киберизвършител, наречен BlackTech, от Агенцията за национална сигурност на САЩ (АНС), Федералното бюро за разследване (ФБР), Агенцията за киберсигурност и инфраструктурна сигурност (CISA), Японската национална полицейска агенция (NPA) и Японския национален център за готовност и стратегия за киберсигурност при инциденти (NISC).
„BlackTech демонстрира способности за модифициране на фърмуера на рутерите без откриване и използване на връзките между домейни и доверие на рутерите, за да се прехвърли от международни дъщерни дружества към централи в Япония и САЩ, които са основните цели“, заявиха агенциите в съвместно предупреждение.
Целевите сектори обхващат правителствения, индустриалния, технологичния, медийния, електронния и телекомуникационния сектор, както и структури, които поддържат военните сили на САЩ и Япония.
BlackTech, наричан още с имената Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn и Temp.Overboard, има история на операции срещу цели в Източна Азия, по-конкретно Тайван, Япония и Хонконг, поне от 2007 г. насам.
През декември 2015 г. Trend Micro описва субекта на заплаха като добре финансиран и организиран, нанасящ удари по ключови индустриални вертикали – а именно правителство, потребителска електроника, компютри, здравеопазване и финанси – разположени в региона.
Оттогава насам той е приписван на широк кръг от задни врати, като BendyBear, BIFROSE (известен още като Bifrost), Consock, KIVARS, PLEAD, TSCookie (известен още като FakeDead), XBOW и Waterbear (известен още като DBGPRINT). Кампаниите PLEAD, документирани от фирмата за киберсигурност през юни 2017 г., включват използването на уязвими маршрутизатори като сървъри за командване и управление (C&C).
„Участниците в PLEAD използват инструмент за сканиране на маршрутизатори, за да сканират за уязвими рутери, след което нападателите ще активират VPN функцията на маршрутизатора, след което ще регистрират машина като виртуален сървър“, отбеляза тогава Trend Micro. „Този виртуален сървър ще бъде използван или като C&C сървър, или като HTTP сървър, който доставя зловреден софтуер PLEAD на техните цели.“
Типичните вериги за атаки, организирани от заплахата, включват изпращане на spear-phishing имейли с прикачени файлове със задна врата за разгръщане на зловреден софтуер, предназначен за събиране на чувствителни данни, включително даунлоуд, наречен Flagpro, и задна врата, известна като BTSDoor, разкри PwC през октомври 2021 г., като отбеляза, че „експлоатацията на рутер е основна част от TTP за BlackTech“.
По-рано през юли тази година Mandiant, собственост на Google, подчерта, че китайските групи за заплахи „се насочват към рутери и други методи за препредаване и прикриване на трафика на атакуващите както извън, така и вътре в мрежите на жертвите“.
Компанията за разузнаване на заплахи свързва BlackTech и със зловреден софтуер на име EYEWELL, който се доставя предимно на тайвански правителствени и технологични цели и който „съдържа възможност за пасивно прокси, което може да се използва за препредаване на трафик от други системи, заразени с EYEWELL, в рамките на средата на жертвата“.
Обширният набор от инструменти показва, че хакерският екип разполага с големи ресурси, постоянно се развива набор от инструменти за зловреден софтуер и се опитва да заобиколи откриването и да остане под радара за дълги периоди от време, като се възползва от откраднати сертификати за подписване на код и други техники за живот на земята (LotL).
В последната си консултация CISA и други предупреждават, че заплахата притежава възможности за разработване на персонализиран зловреден софтуер и персонализирани механизми за устойчивост за проникване в крайни устройства, като често модифицира фърмуера, за да поддържа устойчивост, проксира трафика, смесва се с трафика на корпоративната мрежа и се насочва към други жертви в същата мрежа.
Казано по друг начин, измамните модификации на фърмуера включват вградена задна врата SSH, която позволява на операторите да поддържат скрит достъп до маршрутизатора, като използват магически пакети за активиране или деактивиране на функцията.
„Участниците в BlackTech са компрометирали няколко рутера на Cisco, използвайки варианти на адаптирана задна врата на фърмуера“, заявиха агенциите. „Функцията backdoor се активира и деактивира чрез специално създадени TCP или UDP пакети. Този TTP не се ограничава само до маршрутизаторите на Cisco и подобни техники могат да се използват за активиране на задни врати в друго мрежово оборудване.“
В собствения си бюлетин Cisco заяви, че най-разпространеният първоначален вектор за достъп при тези атаки е свързан с откраднати или слаби административни пълномощия и че няма данни за активно използване на каквито и да било пропуски в сигурността на нейния софтуер.
„Някои промени в конфигурацията, като например деактивиране на регистрирането и изтегляне на фърмуер, изискват административни пълномощия“, заяви компанията. „Нападателите са използвали компрометирани пълномощия, за да извършват промени в конфигурацията и софтуера на административно ниво.“
Като смекчаващи мерки се препоръчва мрежовите защитници да наблюдават мрежовите устройства за неоторизирано изтегляне на зареждащи устройства и образи на фърмуер и рестартиране и да следят за анормален трафик, насочен към маршрутизатора, включително SSH.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.