Китайские государственные хакеры обнаружены в прошивке маршрутизаторов Cisco

Американские и японские органы по кибербезопасности и правоохранительные агентства предупреждают о действиях китайской хакерской группы "BlackTech". Эта группа нарушает работу сетевых устройств, устанавливая специализированные бэкдоры для доступа к корпоративным сетям.

Совместный отчет , подготовленный ФБР, АНБ, CISA, а также японскими органами NISC и NPA, рассказывает о том, что государственно-поддерживаемая группа атакует сетевые устройства международных филиалов крупных компаний для дальнейшего доступа к сетям корпоративных головных офисов.

"BlackTech", также известная как Palmerworm, Circuit Panda и Radio Panda, активно занимается кибершпионажем против японских, тайваньских и гонконгских организаций с 2010 года. Основные цели группы включают в себя правительственные учреждения, промышленные предприятия, технологические компании, СМИ, электронные и телекоммуникационные компании, а также оборонную промышленность.

Модифицированная прошивка позволяет злоумышленникам скрывать изменения конфигурации и историю выполненных команд. Кроме того, они могут отключать систему журналирования на скомпрометированном устройстве во время проведения вредоносных действий.

В частности, для маршрутизаторов Cisco исследователи наблюдали, как злоумышленники включали и отключали SSH бэкдор с помощью специально созданных TCP или UDP пакетов, направляемые на устройства. Данный метод позволяет атакующим оставаться незамеченными и включать бекдор только по мере необходимости.

Также было замечено, что злоумышленники вносили исправления в память устройств Cisco, чтобы обойти функции проверки подписи Cisco ROM Monitor. Это позволяет злоумышленникам загружать модифицированную прошивку, в которой предварительно установлены бэкдоры, обеспечивающие незарегистрированный доступ к устройству.

В случае взлома маршрутизаторов Cisco хакеры также изменяют политики EEM, используемые для автоматизации задач, удаляя определенные строки из законных команд, чтобы заблокировать их выполнение и затруднить судебно-медицинский анализ.

Согласно предостережению, хакеры "BlackTech" используют специализированное и регулярно обновляемое вредоносное ПО для создания бэкдоров в сетевых устройствах. Эти бэкдоры используются для постоянного доступа, первоначального вхождения в сети и перехвата данных.

Особое внимание следует уделить тому, что вредоносное ПО иногда подписывается украденными сертификатами, что затрудняет его обнаружение системами безопасности.

Отчет также содержит рекомендации по защите: мониторинг несанкционированных загрузок образов загрузчика и прошивки, а также необычных перезагрузок устройств. Также рекомендуется обращать внимание на SSH-трафик на маршрутизаторе и применять ряд других мер безопасности.

Важно отметить, что атаки на сетевые устройства стали чаще встречаться за последний год. По данным исследований, китайские хакеры также нацеливаются на устройства Fortinet, TP-Link и SonicWall.