Кто стоит за новой волной кибератак?
Американские и японские органы по кибербезопасности и правоохранительные агентства предупреждают о действиях китайской хакерской группы "BlackTech". Эта группа нарушает работу сетевых устройств, устанавливая специализированные бэкдоры для доступа к корпоративным сетям.
Совместный отчет , подготовленный ФБР, АНБ, CISA, а также японскими органами NISC и NPA, рассказывает о том, что государственно-поддерживаемая группа атакует сетевые устройства международных филиалов крупных компаний для дальнейшего доступа к сетям корпоративных головных офисов.
"BlackTech", также известная как Palmerworm, Circuit Panda и Radio Panda, активно занимается кибершпионажем против японских, тайваньских и гонконгских организаций с 2010 года. Основные цели группы включают в себя правительственные учреждения, промышленные предприятия, технологические компании, СМИ, электронные и телекоммуникационные компании, а также оборонную промышленность.
Модифицированная прошивка позволяет злоумышленникам скрывать изменения конфигурации и историю выполненных команд. Кроме того, они могут отключать систему журналирования на скомпрометированном устройстве во время проведения вредоносных действий.
В частности, для маршрутизаторов Cisco исследователи наблюдали, как злоумышленники включали и отключали SSH бэкдор с помощью специально созданных TCP или UDP пакетов, направляемые на устройства. Данный метод позволяет атакующим оставаться незамеченными и включать бекдор только по мере необходимости.
Также было замечено, что злоумышленники вносили исправления в память устройств Cisco, чтобы обойти функции проверки подписи Cisco ROM Monitor. Это позволяет злоумышленникам загружать модифицированную прошивку, в которой предварительно установлены бэкдоры, обеспечивающие незарегистрированный доступ к устройству.
В случае взлома маршрутизаторов Cisco хакеры также изменяют политики EEM, используемые для автоматизации задач, удаляя определенные строки из законных команд, чтобы заблокировать их выполнение и затруднить судебно-медицинский анализ.
Согласно предостережению, хакеры "BlackTech" используют специализированное и регулярно обновляемое вредоносное ПО для создания бэкдоров в сетевых устройствах. Эти бэкдоры используются для постоянного доступа, первоначального вхождения в сети и перехвата данных.
Особое внимание следует уделить тому, что вредоносное ПО иногда подписывается украденными сертификатами, что затрудняет его обнаружение системами безопасности.
Отчет также содержит рекомендации по защите: мониторинг несанкционированных загрузок образов загрузчика и прошивки, а также необычных перезагрузок устройств. Также рекомендуется обращать внимание на SSH-трафик на маршрутизаторе и применять ряд других мер безопасности.
Важно отметить, что атаки на сетевые устройства стали чаще встречаться за последний год. По данным исследований, китайские хакеры также нацеливаются на устройства Fortinet, TP-Link и SonicWall.
Спойлер: она начинается с подписки на наш канал