Правоохранительные органы и службы кибербезопасности США и Японии предупреждают о том, что китайские хакеры "BlackTech" взламывают сетевые устройства для установки пользовательских "черных ходов" для доступа к корпоративным сетям.
В совместном докладе ФБР, АНБ, CISA, а также японских NISC (кибербезопасность) и NPA (полиция) говорится, что спонсируемая государством хакерская группа взламывает сетевые устройства международных дочерних компаний для перехода к сетям головных офисов корпораций.
BlackTech (также известная как Palmerworm, Circuit Panda и Radio Panda) - спонсируемая государством китайская APT-группа (advanced persistent threat), известная проведением атак кибершпионажа на японские, тайваньские и гонконгские компании как минимум с 2010 года.
В число отраслей, на которые ориентируется BlackTech, входят государственная, промышленная, технологическая, медиа, электронная, телекоммуникационная и оборонная промышленность.
Пользовательские вредоносные программы на сетевых устройствах
В уведомлении ФБР говорится, что хакеры BlackTech используют специализированные, регулярно обновляемые вредоносные программы для создания бэкдоров в сетевых устройствах, которые используются для обеспечения постоянства, первоначального доступа к сетям и кражи данных путем перенаправления трафика на контролируемые злоумышленниками серверы.
В сообщении предупреждается, что пользовательские вредоносные программы иногда подписываются с использованием украденных сертификатов подписи кода, что затрудняет их обнаружение средствами защиты.
Используя украденные учетные данные администратора, злоумышленники взламывают маршрутизаторы самых разных марок, моделей и версий, устанавливают постоянную защиту и перемещаются по сети.
Как поясняется в совместном документе по кибербезопасности:
"В частности, после того как злоумышленники BlackTech закрепились в целевой сети и получили доступ администратора к пограничным сетевым устройствам, они часто модифицируют прошивку, чтобы скрыть свою деятельность на пограничных устройствах для дальнейшего поддержания устойчивости в сети. Для расширения своего присутствия в организации злоумышленники BlackTech используют маршрутизаторы филиалов - как правило, небольшие устройства, используемые в удаленных филиалах для подключения к головному офису компании, - а затем злоупотребляют доверительными отношениями между маршрутизаторами филиалов в корпоративной сети, ставшей объектом атаки. Затем злоумышленники BlackTech используют взломанные публичные маршрутизаторы филиалов в качестве части своей инфраструктуры для проксирования трафика, смешивания с трафиком корпоративной сети и переключения на других жертв в той же корпоративной сети".
Модифицированная прошивка позволяет угрозам скрывать изменения конфигурации и историю выполненных команд. Кроме того, они могут отключить регистрацию на скомпрометированном устройстве, пока активно выполняют вредоносные операции.
В частности, на маршрутизаторах Cisco злоумышленники включают и отключают бэкдор SSH с помощью специально созданных TCP- или UDP-пакетов, отправляемых на устройство. Этот метод позволяет злоумышленникам избежать обнаружения и включать бэкдор только в случае необходимости.
Угрожающие лица также были замечены в установке патчей в память устройств Cisco, чтобы обойти функции проверки подписи в Cisco ROM Monitor. Это позволяет загружать модифицированные микропрограммы, в которые предустановлены бэкдоры, обеспечивающие незалогированный доступ к устройству.
В случаях взлома маршрутизаторов Cisco хакеры также модифицируют политики EEM, используемые для автоматизации задач, удаляя определенные строки из легитимных команд, чтобы заблокировать их выполнение и затруднить криминалистический анализ.
Создание собственных вредоносных программ не является чем-то новым для APT-группы BlackTech: в двух отчетах NTT и Unit 42 за 2021 год говорилось об использовании этой тактики.
В более старом отчете Trend Micro упоминается тактика компрометации уязвимых маршрутизаторов для использования их в качестве C2-серверов.
Предложения по защите
Рекомендация советует системным администраторам следить за несанкционированной загрузкой образов загрузчика и микропрограммного обеспечения, а также за необычными перезагрузками устройств, которые могут быть частью установки модифицированных микропрограмм на маршрутизаторы.
К трафику SSH, наблюдаемому на маршрутизаторе, также следует относиться с большим подозрением.
Рекомендуется использовать следующие методы защиты:
- Использовать команду "transport output none" для предотвращения нежелательных внешних подключений.
- Контролировать входящий/исходящий трафик на устройствах, особенно несанкционированный доступ, и разделять системы управления с помощью VLAN.
- Разрешить администраторам сети использовать только определенные IP-адреса и отслеживать попытки входа в систему.
- Переход на устройства с расширенными возможностями безопасной загрузки и приоритетное обновление старого оборудования.
- При подозрении на нарушение немедленно сменить все пароли и ключи.
- Просматривайте журналы на предмет аномалий, таких как неожиданные перезагрузки или изменения конфигурации.
- Для обнаружения несанкционированных изменений используйте методику Network Device Integrity (NDI).
- Регулярно сравнивайте загрузочные записи и микропрограммное обеспечение с доверенными версиями.
Компания Cisco также опубликовала рекомендацию по безопасности на эту тему, подчеркнув, что нет никаких признаков того, что BlackTech использует уязвимость в своих продуктах или украденный сертификат для подписи своих вредоносных программ.
Кроме того, Cisco отмечает, что метод атаки, предполагающий обновление микропрограммного обеспечения для обхода мер безопасности, применим только к старым, устаревшим продуктам.
В последний год участились случаи атак на сетевые устройства: китайские угрозы также атакуют сетевые устройства Fortinet, TP-Link и SonicWall с помощью специальных вредоносных программ.
В апреле США, Великобритания и компания Cisco предупредили об атаках на iOS-устройства Cisco со стороны российской государственной хакерской группы APT28 (Fancy Bear, STRONTIUM), которая использовала пользовательское вредоносное ПО для кражи данных и перехода на внутренние устройства.
Поскольку пограничные сетевые устройства обычно не поддерживают решения для обеспечения безопасности EDR (Endpoint Detection and Response), они являются основной мишенью для угроз, используемых для кражи данных и получения первоначального доступа к сети.
В мае технический директор компании Mandiant Чарльз Кармакал (Charles Carmakal) рассказал Герман Геншин, что "все чаще и чаще кибершпионаж со стороны Китая фокусируется на сетевых устройствах, IOT-устройствах и т.д., которые не поддерживают решения EDR".
Поэтому сетевые администраторы должны устанавливать все доступные исправления безопасности на пограничные устройства сразу же после их появления и не открывать публично консоли управления.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!