29.09.2023 | Китайские государственные хакеры обнаружены в прошивке маршрутизаторов Cisco |
Американские и японские органы по кибербезопасности и правоохранительные агентства предупреждают о действиях китайской хакерской группы "BlackTech". Эта группа нарушает работу сетевых устройств, устанавливая специализированные бэкдоры для доступа к корпоративным сетям. Совместный отчет , подготовленный ФБР, АНБ, CISA, а также японскими органами NISC и NPA, рассказывает о том, что государственно-поддерживаемая группа атакует сетевые устройства международных филиалов крупных компаний для дальнейшего доступа к сетям корпоративных головных офисов. "BlackTech", также известная как Palmerworm, Circuit Panda и Radio Panda, активно занимается кибершпионажем против японских, тайваньских и гонконгских организаций с 2010 года. Основные цели группы включают в себя правительственные учреждения, промышленные предприятия, технологические компании, СМИ, электронные и телекоммуникационные компании, а также оборонную промышленность. Модифицированная прошивка позволяет злоумышленникам скрывать изменения конфигурации и историю выполненных команд. Кроме того, они могут отключать систему журналирования на скомпрометированном устройстве во время проведения вредоносных действий. В частности, для маршрутизаторов Cisco исследователи наблюдали, как злоумышленники включали и отключали SSH бэкдор с помощью специально созданных TCP или UDP пакетов, направляемые на устройства. Данный метод позволяет атакующим оставаться незамеченными и включать бекдор только по мере необходимости. Также было замечено, что злоумышленники вносили исправления в память устройств Cisco, чтобы обойти функции проверки подписи Cisco ROM Monitor. Это позволяет злоумышленникам загружать модифицированную прошивку, в которой предварительно установлены бэкдоры, обеспечивающие незарегистрированный доступ к устройству. В случае взлома маршрутизаторов Cisco хакеры также изменяют политики EEM, используемые для автоматизации задач, удаляя определенные строки из законных команд, чтобы заблокировать их выполнение и затруднить судебно-медицинский анализ. Согласно предостережению, хакеры "BlackTech" используют специализированное и регулярно обновляемое вредоносное ПО для создания бэкдоров в сетевых устройствах. Эти бэкдоры используются для постоянного доступа, первоначального вхождения в сети и перехвата данных. Особое внимание следует уделить тому, что вредоносное ПО иногда подписывается украденными сертификатами, что затрудняет его обнаружение системами безопасности. Отчет также содержит рекомендации по защите: мониторинг несанкционированных загрузок образов загрузчика и прошивки, а также необычных перезагрузок устройств. Также рекомендуется обращать внимание на SSH-трафик на маршрутизаторе и применять ряд других мер безопасности. Важно отметить, что атаки на сетевые устройства стали чаще встречаться за последний год. По данным исследований, китайские хакеры также нацеливаются на устройства Fortinet, TP-Link и SonicWall. |
Проверить безопасность сайта