Um APT patrocinado pelo Estado chinês chamado BlackTech foi pego invadindo dispositivos de rede e usando implantes de firmware para permanecer oculto e navegar silenciosamente pelas redes corporativas de empresas multinacionais americanas e japonesas.
De acordo com um poderoso comunicado conjunto da NSA, FBI, CISA e NISC do Japão, a BlackTech foi observada modificando o firmware dos roteadores Cisco para manter a persistência furtiva e girar de subsidiárias internacionais para sedes no Japão e nos Estados Unidos.
“Especificamente, ao obter uma posição inicial em uma rede alvo e obter acesso de administrador aos dispositivos de borda da rede, os atores cibernéticos da BlackTech frequentemente modificam o firmware para ocultar sua atividade nos dispositivos de borda para manter ainda mais a persistência na rede”, alertaram as agências.
Para estender sua posição em uma organização, os invasores da BlackTech têm como alvo os roteadores das filiais – normalmente dispositivos menores usados em filiais remotas para se conectar à sede corporativa – e abusam do relacionamento confiável dos roteadores das filiais dentro da rede corporativa visada.
Os invasores então usam os roteadores de filiais comprometidos voltados para o público como parte de sua infraestrutura para fazer proxy do tráfego, misturando-se ao tráfego da rede corporativa e direcionando-os para outras vítimas na mesma rede corporativa.
A BlackTech, ativa desde pelo menos 2010, é uma prolífica APT chinesa que visa os setores governamental, industrial, de tecnologia, mídia, eletrônica e telecomunicações, incluindo entidades que apoiam os militares dos EUA e do Japão.
O ator tradicionalmente usa malware personalizado, ferramentas de uso duplo e táticas de viver fora da terra, como desativar o registro em roteadores, para ocultar suas operações.
De acordo com o comunicado, os hackers da BlackTech comprometeram vários roteadores Cisco usando variações de um backdoor de firmware personalizado que é ativado e desativado por meio de pacotes TCP ou UDP especialmente criados.
Em alguns casos, o grupo foi pego substituindo o firmware de determinados roteadores baseados em Cisco IOS por firmware malicioso.
“Embora os atores da BlackTech já tivessem privilégios elevados no roteador para substituir o firmware por meio da execução de linha de comando, o firmware malicioso é usado para estabelecer acesso backdoor persistente e ofuscar futuras atividades maliciosas”, disseram as agências.
Nos ataques observados, o firmware modificado usou um backdoor SSH integrado que permitiu aos atores da BlackTech manter o acesso ao roteador comprometido sem que nenhuma conexão fosse registrada.
Os invasores também contornaram os recursos de segurança integrados do roteador em um esquema complexo que envolve a instalação de arquivos de firmware legítimos mais antigos que são então modificados na memória para contornar as verificações de assinatura de firmware e evitar a detecção.
No documento, as agências recomendam que os defensores monitorem as conexões de entrada e saída de dispositivos de rede para sistemas externos e internos e verifiquem os logs de tentativas de login bem-sucedidas e malsucedidas com o “log de login em caso de falha” e “log de login em caso de sucesso”. ” comandos de configuração.
As empresas também estão sendo incentivadas a atualizar dispositivos para aqueles que tenham recursos de inicialização segura e revisar logs gerados por dispositivos de rede e monitorar reinicializações não autorizadas, alterações na versão do sistema operacional, alterações na configuração ou tentativas de atualizar o firmware.
ATUALIZAÇÃO (resposta da Cisco):
A Cisco lançou um boletim observando que o vetor de acesso inicial mais prevalente nesses ataques envolve credenciais administrativas roubadas ou fracas. “Não há indicação de que quaisquer vulnerabilidades da Cisco tenham sido exploradas. Os invasores usaram credenciais comprometidas para realizar configurações de nível administrativo e alterações de software.”
A empresa disse que a instalação de software comprometido, primeiro fazendo o downgrade para um firmware mais antigo, afeta apenas dispositivos legados e não é permitida em roteadores Cisco modernos que suportam inicialização segura.
“Os certificados de assinatura de código roubados mencionados no relatório não são da Cisco. A Cisco não tem conhecimento de certificados de assinatura de código roubados para realizar qualquer ataque contra dispositivos de infraestrutura da Cisco”, argumentou a empresa.