Οι αρχές επιβολής του νόμου και κυβερνοασφάλειας των ΗΠΑ και της Ιαπωνίας προειδοποιούν ότι οι κινέζοι χάκερ «BlackTech» παραβιάζουν συσκευές δικτύου για να εγκαταστήσουν προσαρμοσμένες κερκόπορτες για πρόσβαση σε εταιρικά δίκτυα.
Η κοινή έκθεση προέρχεται από το FBI, την NSA, την CISA και την ιαπωνική NISC (κυβερνοασφάλεια) και NPA (αστυνομία), οι οποίοι εξηγούν ότι η κρατική ομάδα hacking παραβιάζει συσκευές δικτύου σε διεθνείς θυγατρικές για να στραφεί στα δίκτυα των εταιρικών κεντρικών γραφείων.
Η BlackTech (γνωστή και ως Palmerworm, Circuit Panda και Radio Panda) είναι μια κινεζική ομάδα APT (προηγμένη επίμονη απειλή) που χρηματοδοτείται από το κράτος, γνωστή για τη διεξαγωγή επιθέσεων κυβερνοκατασκοπείας σε οντότητες που εδρεύουν στην Ιαπωνία, την Ταϊβάν και το Χονγκ Κονγκ τουλάχιστον από το 2010.
Οι τομείς που στοχεύει η BlackTech περιλαμβάνουν την κυβέρνηση, τη βιομηχανία, την τεχνολογία, τα μέσα
ενημέρωση
ς, τα ηλεκτρονικά, τις τηλεπικοινωνίες και την αμυντική βιομηχανία.
Προσαρμοσμένο κακόβουλο
λογισμικό
σε συσκευές δικτύου
Η ειδοποίηση του FBI προειδοποιεί ότι οι χάκερ BlackTech χρησιμοποιούν προσαρμοσμένο, τακτικά ενημερωμένο κακόβουλο λογισμικό σε συσκευές δικτύου backdoor, οι οποίες χρησιμοποιούνται για διατήρηση, αρχική πρόσβαση σε δίκτυα και για κλοπή δεδομένων ανακατευθύνοντας την κυκλοφορία σε διακομιστές που ελέγχονται από τους εισβολείς.
Η συμβουλευτική προειδοποιεί ότι το προσαρμοσμένο κακόβουλο λογισμικό υπογράφεται μερικές φορές με χρήση κλεμμένων πιστοποιητικών υπογραφής κώδικα, γεγονός που καθιστά δυσκολότερο τον εντοπισμό του λογισμικού ασφαλείας.
Αξιοποιώντας κλεμμένα διαπιστευτήρια διαχειριστή, οι εισβολείς θέτουν σε κίνδυνο ένα ευρύ φάσμα εμπορικών σημάτων, μοντέλων και εκδόσεων δρομολογητών, εδραιώνουν την
επιμονή
και μετακινούνται πλευρικά στο δίκτυο.
Όπως εξηγείται από την άρθρωση
συμβουλευτική για την ασφάλεια στον κυβερνοχώρο
:
«Συγκεκριμένα, όταν αποκτήσουν μια αρχική βάση σε ένα δίκτυο-στόχο και αποκτήσουν πρόσβαση διαχειριστή σε συσκευές αιχμής δικτύου, οι κυβερνοτελεστές της BlackTech συχνά τροποποιούν το υλικολογισμικό για να αποκρύψουν τη δραστηριότητά τους στις συσκευές ακμής για να διατηρήσουν περαιτέρω την επιμονή τους στο δίκτυο. Για να επεκτείνουν τη θέση τους σε οργανισμός, οι παράγοντες της BlackTech στοχεύουν δρομολογητές υποκαταστημάτων—συνήθως μικρότερες συσκευές που χρησιμοποιούνται σε απομακρυσμένα υποκαταστήματα για σύνδεση με εταιρικά κεντρικά γραφεία—και, στη συνέχεια, κάνουν κατάχρηση της αξιόπιστης σχέσης των δρομολογητών υποκαταστημάτων εντός του εταιρικού δικτύου που στοχεύει. Στη συνέχεια, οι παράγοντες της BlackTech χρησιμοποιούν το παραβιασμένο υποκατάστημα δρομολογητές ως μέρος της υποδομής τους για την κίνηση μεσολάβησης, την ανάμειξη με την κίνηση του εταιρικού δικτύου και την περιστροφή σε άλλα θύματα στο ίδιο εταιρικό δίκτυο.”
Το τροποποιημένο υλικολογισμικό επιτρέπει στους παράγοντες απειλής να αποκρύψουν τις αλλαγές διαμόρφωσης και το ιστορικό των εκτελεσμένων εντολών. Τους επιτρέπει επίσης να απενεργοποιούν τη σύνδεση σε μια παραβιασμένη
συσκευή
ενώ συμμετέχουν ενεργά σε κακόβουλες λειτουργίες.
Ειδικά για τους δρομολογητές Cisco, οι ερευνητές παρατήρησαν τους εισβολείς να ενεργοποιούν και να απενεργοποιούν μια κερκόπορτα SSH χρησιμοποιώντας ειδικά δημιουργημένα πακέτα TCP ή UDP που αποστέλλονται στις συσκευές. Αυτή η μέθοδος επιτρέπει στους εισβολείς να αποφύγουν τον εντοπισμό και να ενεργοποιήσουν την κερκόπορτα μόνο όταν είναι απαραίτητο.
Οι παράγοντες απειλής έχουν επίσης παρατηρηθεί να επιδιορθώνουν τη μνήμη των συσκευών Cisco για να παρακάμψουν τις λειτουργίες επικύρωσης υπογραφής του Cisco ROM Monitor. Αυτό επιτρέπει στους παράγοντες απειλής να φορτώνουν τροποποιημένο υλικολογισμικό που παρέχεται προεγκατεστημένο με κερκόπορτες που επιτρέπουν την πρόσβαση χωρίς σύνδεση στη συσκευή.
Σε περιπτώσεις παραβιάσεων δρομολογητών Cisco, οι χάκερ τροποποιούν επίσης τις πολιτικές EEM που χρησιμοποιούνται για την αυτοματοποίηση εργασιών, αφαιρώντας ορισμένες συμβολοσειρές από νόμιμες εντολές για να εμποδίσουν την εκτέλεσή τους και να εμποδίσουν την εγκληματολογική ανάλυση.
Η δημιουργία προσαρμοσμένου κακόβουλου λογισμικού δεν είναι καινούργια για την ομάδα BlackTech APT, με δύο αναφορές του 2021 από το NTT και το Unit 42 που τονίζουν τη χρήση αυτής της τακτικής από τον παράγοντα απειλής.
Ένας μεγαλύτερος
Αναφορά Trend Micro
ανέφερε συγκεκριμένα την τακτική του συμβιβασμού των ευάλωτων δρομολογητών για τη χρήση τους ως διακομιστές C2.
Αμυντικές συστάσεις
Η συμβουλή συμβουλεύει τους διαχειριστές συστήματος να παρακολουθούν για μη εξουσιοδοτημένες λήψεις εικόνων του bootloader και υλικολογισμικού και ασυνήθιστες επανεκκινήσεις συσκευών που θα μπορούσαν να αποτελούν μέρος της φόρτωσης τροποποιημένου υλικολογισμικού σε δρομολογητές.
Η κίνηση SSH που παρατηρείται στο δρομολογητή θα πρέπει επίσης να αντιμετωπίζεται με μεγάλη καχυποψία.
Συνιστώνται οι ακόλουθες πρακτικές μετριασμού:
- Χρησιμοποιήστε την εντολή “transport output none” για να αποτρέψετε ανεπιθύμητες εξωτερικές συνδέσεις.
- Επίβλεψη εισερχόμενης/εξερχόμενης κίνησης σε συσκευές, ιδιαίτερα μη εξουσιοδοτημένης πρόσβασης, και διαχωρισμός διαχειριστικών συστημάτων με VLAN.
- Επιτρέψτε μόνο συγκεκριμένες διευθύνσεις IP για διαχειριστές δικτύου και παρακολουθήστε τις προσπάθειες σύνδεσης.
- Μετάβαση σε συσκευές με προηγμένη ασφαλή εκκίνηση και δώστε προτεραιότητα στην ενημέρωση του παλιού εξοπλισμού.
- Ενεργήστε αμέσως για να αλλάξετε όλους τους κωδικούς πρόσβασης και τα κλειδιά όταν υπάρχει υποψία παραβίασης.
- Εξετάστε τα αρχεία καταγραφής για ανωμαλίες όπως απροσδόκητες επανεκκινήσεις ή αλλαγές διαμόρφωσης.
- Χρησιμοποιήστε τη Μεθοδολογία Network Device Integrity (NDI) για τον εντοπισμό μη εξουσιοδοτημένων αλλαγών.
- Συγκρίνετε τακτικά εγγραφές εκκίνησης και υλικολογισμικό με αξιόπιστες εκδόσεις.
Η Cisco δημοσίευσε επίσης ένα
συμβουλευτική για την ασφάλεια
σχετικά με το θέμα, τονίζοντας ότι δεν υπάρχει καμία ένδειξη ότι η BlackTech αξιοποιεί μια ευπάθεια στα προϊόντα της ή ένα κλεμμένο πιστοποιητικό για να υπογράψει το κακόβουλο λογισμικό της.
Επίσης, η Cisco σημειώνει ότι η μέθοδος επίθεσης που περιλαμβάνει την υποβάθμιση του υλικολογισμικού για παράκαμψη μέτρων ασφαλείας ισχύει μόνο για παλαιότερα, παλαιού τύπου προϊόντα.
Η στόχευση συσκευών δικτύου έχει σημειώσει άνοδο τον περασμένο χρόνο, με κινεζικούς παράγοντες απειλών να στοχεύουν επίσης συσκευές δικτύου Fortinet, TP-Link και SonicWall με προσαρμοσμένο κακόβουλο λογισμικό.
Οι ΗΠΑ, το
Ηνωμένο Βασίλειο
και η Cisco προειδοποίησαν τον Απρίλιο για επιθέσεις σε συσκευές Cisco iOS από τη ρωσική ομάδα hacking APT28 (Fancy Bear, STRONTIUM) που χρηματοδοτείται από το κράτος, η οποία ανέπτυξε προσαρμοσμένο κακόβουλο λογισμικό για την κλοπή δεδομένων και την περιστροφή σε εσωτερικές συσκευές.
Καθώς οι συσκευές δικτύων αιχμής δεν υποστηρίζουν συνήθως λύσεις ασφαλείας EDR (Endpoint Detection and Response), αποτελούν πρωταρχικούς στόχους για τους φορείς απειλής που μπορούν να χρησιμοποιηθούν για κλοπή δεδομένων και αρχική πρόσβαση σε ένα δίκτυο.
“Υπάρχει ένα επαναλαμβανόμενο θέμα της συνεχιζόμενης εστίασης της κυβερνοκατασκοπείας της China-nexus σε συσκευές δικτύου, συσκευές IOT κ.λπ. που δεν υποστηρίζουν λύσεις EDR”, δήλωσε ο CTO της Mandiant, Charles Carmakal, στο BleepingComputer τον Μάιο.
Επομένως, οι διαχειριστές δικτύου πρέπει να εγκαταστήσουν όλες τις διαθέσιμες ενημερώσεις κώδικα ασφαλείας σε συσκευές edge μόλις γίνουν διαθέσιμες και να μην εκθέτουν δημόσια τις κονσόλες διαχείρισης.
