Търсене
Close this search box.

BlackTech използва рутери, за да атакува компании

Агенции за киберсигурност от Япония и САЩ предупредиха за атаки, организирани от подкрепяна от държавата хакерска група от Китай, която тайно подменя рутерите на клонове и ги използва като отправни точки за достъп до мрежите на различни компании в двете страни.

Атаките са свързани със злонамерен киберизвършител, наречен BlackTech, от Агенцията за национална сигурност на САЩ (АНС), Федералното бюро за разследване (ФБР), Агенцията за киберсигурност и инфраструктурна сигурност (CISA), Японската национална полицейска агенция (NPA) и Японския национален център за готовност и стратегия за киберсигурност при инциденти (NISC).

„BlackTech демонстрира способности за модифициране на фърмуера на рутерите без откриване и използване на връзките между домейни и доверие на рутерите, за да се прехвърли от международни дъщерни дружества към централи в Япония и САЩ, които са основните цели“, заявиха агенциите в съвместно предупреждение.

Целевите сектори обхващат правителствения, индустриалния, технологичния, медийния, електронния и телекомуникационния сектор, както и структури, които поддържат военните сили на САЩ и Япония.

BlackTech, наричан още с имената Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn и Temp.Overboard, има история на операции срещу цели в Източна Азия, по-конкретно Тайван, Япония и Хонконг, поне от 2007 г. насам.

През декември 2015 г. Trend Micro описва субекта на заплаха като добре финансиран и организиран, нанасящ удари по ключови индустриални вертикали – а именно правителство, потребителска електроника, компютри, здравеопазване и финанси – разположени в региона.

Оттогава насам той е приписван на широк кръг от задни врати, като BendyBear, BIFROSE (известен още като Bifrost), Consock, KIVARS, PLEAD, TSCookie (известен още като FakeDead), XBOW и Waterbear (известен още като DBGPRINT). Кампаниите PLEAD, документирани от фирмата за киберсигурност през юни 2017 г., включват използването на уязвими маршрутизатори като сървъри за командване и управление (C&C).

„Участниците в PLEAD използват инструмент за сканиране на маршрутизатори, за да сканират за уязвими рутери, след което нападателите ще активират VPN функцията на маршрутизатора, след което ще регистрират машина като виртуален сървър“, отбеляза тогава Trend Micro. „Този виртуален сървър ще бъде използван или като C&C сървър, или като HTTP сървър, който доставя зловреден софтуер PLEAD на техните цели.“

Типичните вериги за атаки, организирани от  заплахата, включват изпращане на spear-phishing имейли с прикачени файлове със задна врата за разгръщане на зловреден софтуер, предназначен за събиране на чувствителни данни, включително даунлоуд, наречен Flagpro, и задна врата, известна като BTSDoor, разкри PwC през октомври 2021 г., като отбеляза, че „експлоатацията на рутер е основна част от TTP за BlackTech“.

По-рано през юли тази година Mandiant, собственост на Google, подчерта, че китайските групи за заплахи „се насочват към рутери и други методи за препредаване и прикриване на трафика на атакуващите както извън, така и вътре в мрежите на жертвите“.

Компанията за разузнаване на заплахи свързва BlackTech и със зловреден софтуер на име EYEWELL, който се доставя предимно на тайвански правителствени и технологични цели и който „съдържа възможност за пасивно прокси, което може да се използва за препредаване на трафик от други системи, заразени с EYEWELL, в рамките на средата на жертвата“.

Обширният набор от инструменти показва, че хакерският екип разполага с големи ресурси, постоянно се развива набор от инструменти за зловреден софтуер и се опитва да заобиколи откриването и да остане под радара за дълги периоди от време, като се възползва от откраднати сертификати за подписване на код и други техники за живот на земята (LotL).

В последната си консултация CISA и други предупреждават, че заплахата притежава възможности за разработване на персонализиран зловреден софтуер и персонализирани механизми за устойчивост за проникване в крайни устройства, като често модифицира фърмуера, за да поддържа устойчивост, проксира трафика, смесва се с трафика на корпоративната мрежа и се насочва към други жертви в същата мрежа.

Казано по друг начин, измамните модификации на фърмуера включват вградена задна врата SSH, която позволява на операторите да поддържат скрит достъп до маршрутизатора, като използват магически пакети за активиране или деактивиране на функцията.

„Участниците в BlackTech са компрометирали няколко рутера на Cisco, използвайки варианти на адаптирана задна врата на фърмуера“, заявиха агенциите. „Функцията backdoor се активира и деактивира чрез специално създадени TCP или UDP пакети. Този TTP не се ограничава само до маршрутизаторите на Cisco и подобни техники могат да се използват за активиране на задни врати в друго мрежово оборудване.“

В собствения си бюлетин Cisco заяви, че най-разпространеният първоначален вектор за достъп при тези атаки е свързан с откраднати или слаби административни пълномощия и че няма данни за активно използване на каквито и да било пропуски в сигурността на нейния софтуер.

„Някои промени в конфигурацията, като например деактивиране на регистрирането и изтегляне на фърмуер, изискват административни пълномощия“, заяви компанията. „Нападателите са използвали компрометирани пълномощия, за да извършват промени в конфигурацията и софтуера на административно ниво.“

Като смекчаващи мерки се препоръчва мрежовите защитници да наблюдават мрежовите устройства за неоторизирано изтегляне на зареждащи устройства и образи на фърмуер и рестартиране и да следят за анормален трафик, насочен към маршрутизатора, включително SSH.

Източник: The Hacker News

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
Бъдете социални
Още по темата
07/04/2024

92 000 NAS устройства на D-...

Изследовател на заплахи е разкрил нов...
27/03/2024

CISA предупреждава за недо...

В понеделник Американската агенция за киберсигурност...
27/03/2024

TheMoon проби хиляди рутери...

Забелязан е нов вариант на зловредния...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!