Agencje ds. cyberbezpieczeństwa ze Stanów Zjednoczonych i Japonii ostrzegają przed hakerami z BlackTech. Ta chińska grupa włamuje się do urządzeń sieciowych, a następnie instaluje w nich backdoory. Pozwala im to na uzyskanie dostępu do sieci korporacyjnych. Na celowniku Chińczyków są routery Cisco.
Powstał wspólny raport służb amerykańskich – FBI, NSA, CISA oraz japońskich – NISC i NPA. Wynika z niego, że grupa hakerska z Chin narusza urządzenia sieciowe w zagranicznych oddziałach dużych firm. Celem działań jest uzyskanie dostępu do centrali firmy.
FBI ostrzega przed złośliwym oprogramowaniem, którym posługuje się grupa BlackTech. Pozwala ono na tworzenie backdoorów na określonych urządzeniach sieciowych. Jest to droga do przekierowania ruchu na serwery grupy i kradzieży danych. Stosowana przez hakerów modyfikacja oprogramowania pozwala im na ukrycie zmian konfiguracyjnych oraz historii wykonanych poleceń.
Zagrożone routery Cisco
Portal Bleeping Computer ostrzega, że opisywane przez amerykańskie i japońskie służby ataki, mogą dotyczyć routerów firmy Cisco.
Zaobserwowano włączanie i wyłączanie usługi SSH (umożliwiającej bezpośrednie zarządzanie serwerem – red.) za pomocą specjalnie zmodyfikowanych pakietów TCP lub UDP wysyłanych do urządzeń. Metoda ta umożliwia atakującym unikać wykrycia i włączać backdoor jedynie wtedy, gdy jest to im potrzebne – opisuje mechanizmy działania portal Bleeping Computer.
Możliwe również, że hakerzy modyfikują pamięć urządzeń Cisco, by ominąć funkcję sprawdzania podpisu Cisco ROM Monitor. Pozwala im to na ładowanie zmodyfikowanego oprogramowania wraz z backdoorami. Wtedy nie potrzebują logowania, by mieć dostęp do urządzeń.
Cisco odpowiada na zagrożenie
Firma Cisco odniosła się do doniesień o zagrożeniu, jakie ze strony Chin grozi ich ruterom.
Firma Cisco jest świadoma istnienia wspólnego zalecenia dot. bezpieczeństwa cybernetycznego (CSA) z 27 września zawierającego szczegółowe informacje nt. działań cyber-aktorów BlackTech, którzy wybrali na cel oprogramowanie sprzętowe routerów od wielu dostawców, w tym Cisco – napisała w oświadczeniu firma Cisco.
Uspokaja jednak użytkowników, że możliwość zagrożenia nie jest jednoznaczna z zaistnienie konkretnego problemu:
Nic nie wskazuje na to, aby jakiekolwiek luki w zabezpieczeniach Cisco zostały wykorzystane (…). Alert podkreśla pilną potrzebę wykonywania przez firmy aktualizacji, instalowania poprawek i bezpiecznego konfigurowania urządzeń sieciowych, co stanowi kluczowy krok w kierunku utrzymania higieny bezpieczeństwa i osiągnięcia ogólnej odporności sieci – przekazuje Cisco.
Źródło: cyberdefence24.pl
