Правоохранительные органы США и Японии предупредили, что китайская APT-группировка BlackTech взламывает периферийные устройства и внедряет в их прошивки кастомные бэкдоры для доступа к корпоративным сетям американских и японских международных компаний.
BlackTech (она же Palmerworm, Circuit Panda и Radio Panda) — это «правительственная» APT-группировка, с 2010 года известная своими кибершпионскими атаками на японские, тайваньские и гонконгские организации. Объектами атак BlackTech обычно становятся промышленный и технологический секторы, СМИ, предприятия, занимающиеся электроникой, телекоммуникациями, а также оборонная промышленность и госорганы.
Совместное уведомление, выпущенное ФБР, АНБ, CISA, а также японскими правоохранителями, гласит, что BlackTech использует кастомную и регулярно обновляемую малварь для создания бэкдоров в сетевых устройствах, которые затем используются для закрепления в целевой сети, получения первоначального доступа к сетям организаций и кражи данных (путем перенаправления трафика на подконтрольные злоумышленниками серверы).
Подчеркивается, что кастомная малварь группы порой подписана с использованием легитимных украденных сертификатов, что дополнительно затрудняет ее обнаружение.
«Получив первоначальный доступ к целевой сети и доступ администратора к периферийным устройствам, киберпреступники из BlackTech часто модифицируют их прошивку, чтобы скрыть свою активность и закрепиться в сети.
Для расширения своего присутствия в сети организации злоумышленники из BlackTech атакуют маршрутизаторы других филиалов (как правило, это устройства, используемые в удаленных филиалах для подключения к головному офису компании) и злоупотребляют доверием между устройствами в целевой корпоративной сети. Затем атакующие используют скомпрометированные маршрутизаторы филиалов в качестве части своей инфраструктуры для проксирования трафика, смешиваются с трафиком корпоративной сети и переключаются на других жертв в той же корпоративной сети», — сообщают специалисты.
Модификация прошивок позволяет хакерам маскировать изменения в конфигурации устройств и историю выполненных команд. Кроме того, злоумышленники могут вообще отключать вход на скомпрометированные устройства, пока заняты своими операциями.
К примеру, на маршрутизаторах Cisco хакеры включают и отключают SSH-бэкдор с помощью специальных TCP- или UDP-пакетов, передаваемых на устройство. Это позволяет им избегать обнаружения и активировать бэкдор только в случае необходимости.
Кроме того, BlackTech могут внедряться в память устройств Cisco, чтобы обойти функции проверки подписи в Cisco ROM Monitor. Это позволяет им загружать модифицированные прошивки с предустановленными бэкдорами, которые дают доступ к устройству без логина.
Также было замечено, что во время взлома маршрутизаторов Cisco злоумышленники модифицируют EEM-политики, используемые для автоматизации задач, и удаляют определенные строки команд, чтобы блокировать их выполнение и затруднить последующий анализ атаки. С теми же целями злоумышленники могут вовсе отключать ведение журналов.
Нужно отметить, что создание собственной кастомной малвари не является чем-то новым для BlackTech. Еще в 2021 году исследователи из Palo Alto Networks Unit 42 и NTT Security предупреждали об этой тактике хак-группы. Кроме того, в еще более старом отчете Trend Micro упоминалась тактика компрометации уязвимых маршрутизаторов для использования их в качестве управляющих серверов.
После публикации этого предупреждения правоохранителей представители компании Cisco выпустили официальное заявление, в котором подчеркнули, что злоумышленники компрометируют маршрутизаторы уже после получения административных учетных данных (откуда хакеры их берут, при этом не уточняется), и нет никаких признаков того, что они эксплуатируют некие уязвимости.
Также в Cisco также заявили, что возможность внедрения вредоносных прошивок есть только в старых продуктах компании, а новые версии обладают более широкими защитными возможностями и предотвращают использование таких прошивок.