Търсене
Close this search box.

Агенции за киберсигурност от Япония и САЩ предупредиха за атаки, организирани от подкрепяна от държавата хакерска група от Китай, която тайно подменя рутерите на клонове и ги използва като отправни точки за достъп до мрежите на различни компании в двете страни.

Атаките са свързани със злонамерен киберизвършител, наречен BlackTech, от Агенцията за национална сигурност на САЩ (АНС), Федералното бюро за разследване (ФБР), Агенцията за киберсигурност и инфраструктурна сигурност (CISA), Японската национална полицейска агенция (NPA) и Японския национален център за готовност и стратегия за киберсигурност при инциденти (NISC).

„BlackTech демонстрира способности за модифициране на фърмуера на рутерите без откриване и използване на връзките между домейни и доверие на рутерите, за да се прехвърли от международни дъщерни дружества към централи в Япония и САЩ, които са основните цели“, заявиха агенциите в съвместно предупреждение.

Целевите сектори обхващат правителствения, индустриалния, технологичния, медийния, електронния и телекомуникационния сектор, както и структури, които поддържат военните сили на САЩ и Япония.

BlackTech, наричан още с имената Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn и Temp.Overboard, има история на операции срещу цели в Източна Азия, по-конкретно Тайван, Япония и Хонконг, поне от 2007 г. насам.

През декември 2015 г. Trend Micro описва субекта на заплаха като добре финансиран и организиран, нанасящ удари по ключови индустриални вертикали – а именно правителство, потребителска електроника, компютри, здравеопазване и финанси – разположени в региона.

Оттогава насам той е приписван на широк кръг от задни врати, като BendyBear, BIFROSE (известен още като Bifrost), Consock, KIVARS, PLEAD, TSCookie (известен още като FakeDead), XBOW и Waterbear (известен още като DBGPRINT). Кампаниите PLEAD, документирани от фирмата за киберсигурност през юни 2017 г., включват използването на уязвими маршрутизатори като сървъри за командване и управление (C&C).

„Участниците в PLEAD използват инструмент за сканиране на маршрутизатори, за да сканират за уязвими рутери, след което нападателите ще активират VPN функцията на маршрутизатора, след което ще регистрират машина като виртуален сървър“, отбеляза тогава Trend Micro. „Този виртуален сървър ще бъде използван или като C&C сървър, или като HTTP сървър, който доставя зловреден софтуер PLEAD на техните цели.“

Типичните вериги за атаки, организирани от  заплахата, включват изпращане на spear-phishing имейли с прикачени файлове със задна врата за разгръщане на зловреден софтуер, предназначен за събиране на чувствителни данни, включително даунлоуд, наречен Flagpro, и задна врата, известна като BTSDoor, разкри PwC през октомври 2021 г., като отбеляза, че „експлоатацията на рутер е основна част от TTP за BlackTech“.

По-рано през юли тази година Mandiant, собственост на Google, подчерта, че китайските групи за заплахи „се насочват към рутери и други методи за препредаване и прикриване на трафика на атакуващите както извън, така и вътре в мрежите на жертвите“.

Компанията за разузнаване на заплахи свързва BlackTech и със зловреден софтуер на име EYEWELL, който се доставя предимно на тайвански правителствени и технологични цели и който „съдържа възможност за пасивно прокси, което може да се използва за препредаване на трафик от други системи, заразени с EYEWELL, в рамките на средата на жертвата“.

Обширният набор от инструменти показва, че хакерският екип разполага с големи ресурси, постоянно се развива набор от инструменти за зловреден софтуер и се опитва да заобиколи откриването и да остане под радара за дълги периоди от време, като се възползва от откраднати сертификати за подписване на код и други техники за живот на земята (LotL).

В последната си консултация CISA и други предупреждават, че заплахата притежава възможности за разработване на персонализиран зловреден софтуер и персонализирани механизми за устойчивост за проникване в крайни устройства, като често модифицира фърмуера, за да поддържа устойчивост, проксира трафика, смесва се с трафика на корпоративната мрежа и се насочва към други жертви в същата мрежа.

Казано по друг начин, измамните модификации на фърмуера включват вградена задна врата SSH, която позволява на операторите да поддържат скрит достъп до маршрутизатора, като използват магически пакети за активиране или деактивиране на функцията.

„Участниците в BlackTech са компрометирали няколко рутера на Cisco, използвайки варианти на адаптирана задна врата на фърмуера“, заявиха агенциите. „Функцията backdoor се активира и деактивира чрез специално създадени TCP или UDP пакети. Този TTP не се ограничава само до маршрутизаторите на Cisco и подобни техники могат да се използват за активиране на задни врати в друго мрежово оборудване.“

В собствения си бюлетин Cisco заяви, че най-разпространеният първоначален вектор за достъп при тези атаки е свързан с откраднати или слаби административни пълномощия и че няма данни за активно използване на каквито и да било пропуски в сигурността на нейния софтуер.

„Някои промени в конфигурацията, като например деактивиране на регистрирането и изтегляне на фърмуер, изискват административни пълномощия“, заяви компанията. „Нападателите са използвали компрометирани пълномощия, за да извършват промени в конфигурацията и софтуера на административно ниво.“

Като смекчаващи мерки се препоръчва мрежовите защитници да наблюдават мрежовите устройства за неоторизирано изтегляне на зареждащи устройства и образи на фърмуер и рестартиране и да следят за анормален трафик, насочен към маршрутизатора, включително SSH.

Източник: The Hacker News

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
Бъдете социални
Още по темата
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
09/12/2024

SonicWall поправя 6 уязвимо...

В края на миналата седмица SonicWall...
04/12/2024

Япония предупреждава за 0-D...

Японската служба CERT предупреждава, че хакери...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!