Хакерская группировка BlackTech, предположительно сплетенная с властями Китая, производит масштабные атаки на роутеры Cisco, применяемые в правительственных учреждениях, СМИ (Средства массовой информации, масс-медиа — периодические печатные издания, радио-, теле- и видеопрограммы), военной индустрии и остальных главных секторах США (Соединённые Штаты Америки – государство в Северной Америке). Южноамериканские и японские агентства сохранности и правоохранительные органы лупят тревогу, потому что хакеры вводят в оборудование Cisco уязвимости, оставаясь незамеченными для системных админов.
Агентство государственной сохранности (АНБ), Федеральное бюро расследований (ФБР (Федеральное бюро расследований – американское ведомство при министерстве юстиции США, подчиняется Генеральному прокурору)) и Агентство по кибербезопасности и защите инфраструктуры США (Соединённые Штаты Америки – государство в Северной Америке) (CISA), правоохранительные органы США (Соединённые Штаты Америки – государство в Северной Америке) и Японский Государственный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности данной для нас хакерской группы, подчёркивая серьёзность и масштаб появившейся опасности. В отчёте приводится перечень вредных программ, таковых как BendyBear, Bifrose, SpiderPig и WaterBear, которые употребляются для атак на операционные системы Windows, Linux и даже FreeBSD.
BlackTech, также популярная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою криминальную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. неизменная суровая угроза) создаёт и употребляет спец вредное ПО (то есть программное обеспечение – комплект программ для компьютеров и вычислительных устройств) для проникания в сети через оборудование компании Cisco и остальных больших брендов, таковых как Fortinet, SonicWall и TP-Link.
Хакеры BlackTech предпочитают штурмовать филиалы компаний в маленьких городках, где системы защиты могут быть наименее надёжными. Опосля получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, также компании из сфер индустрии, информационных технологий, телекоммуникаций и электроники.
Специфичность способов, которыми BlackTech получает начальный доступ к устройствам собственных жертв, остаётся неведомой. Это могут быть как кража учётных данных служащих, так и неведомые и очень изощрённые уязвимости нулевого денька. Опосля проникания киберпреступники употребляют интерфейс командной строчки Cisco IOS (CLI) для подмены законной прошивки маршрутизатора на скомпрометированную версию.
Всё начинается с того, что прошивка модифицируется в памяти с внедрением способа «жаркого патчинга». Этот шаг критически важен для установки измененного загрузчика и изменённой прошивки. Опосля окончания установки, измененная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при всем этом следов в системных журнальчиках и игнорируя ограничения, установленные перечнями контроля доступа (ACL).
Киберпреступники используют разные способы сокрытия собственного присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и употребляют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры употребляют спец UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таковым образом свою активность от системных админов.
Cisco ухудшает делему, отказываясь от поддержки собственного устаревшего оборудования и устранения узнаваемых уязвимостей в собственных роутерах. К примеру, компания часто отрешается устранять небезопасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в собственных устаревших роутерах, чей срок поддержки издавна истёк. Так, в весеннюю пору 2023 года, Cisco отказалась выпускать патч для роутеров, созданных для домашнего использования и малого бизнеса, в каких была найдена страшная уязвимость. Это создаёт доп опасности для юзеров и открывает способности для киберпреступников.
Для выявления и блокирования вредных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться хороших стратегий смягчения рисков. ИТ-специалистам следует перекрыть исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, также надзирать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журнальчиках.