Hackers patrocinados pelo Estado agora não são novidade em roteadores de grandes marcas e outros equipamentos de rede. Um conhecido grupo cibercriminoso chinês chamado “BlackTech” está visando ativamente os roteadores Cisco para exfiltrar dados confidenciais. A Agência de Segurança Nacional dos EUA (NSA), o Federal Bureau of Investigation (FBI) e a Agência de Segurança Cibernética e de Infraestrutura (CISA), juntamente com a polícia japonesa e as autoridades de segurança cibernética, emitiram um comunicado conjunto detalhando as atividades da BlackTech e fornecendo recomendações para mitigar as consequências dos ataques.
A BlackTech, também conhecida como Palmerworm, Temp.Overboard, CircuitPanda e RadioPanda, está ativa desde 2010. O relatório afirma que esses cibercriminosos são originários da China e têm historicamente como alvo organizações incluindo governo, indústria, mídia, eletrônica, telecomunicações e empreiteiros de defesa nos Estados Unidos e no Leste Asiático.
Este ator cibernético é especializado no desenvolvimento de malware personalizado e “mecanismos de persistência personalizados” para comprometer marcas populares de roteadores. Os Estados Unidos e o Japão alertam que esses programas maliciosos personalizados incluem recursos perigosos, como desabilitar o registro, abusar de relacionamentos de domínios confiáveis e comprometer dados confidenciais. O aviso inclui uma lista de cepas específicas de malware, como BendyBear, Bifrose, SpiderPig e WaterBear, usadas para atacar sistemas operacionais Windows, Linux e até mesmo FreeBSD.
O comunicado não fornece nenhuma pista sobre qual método a BlackTech usou para obter acesso inicial ao dispositivo da vítima, o que pode incluir credenciais roubadas comuns ou mesmo alguma vulnerabilidade de segurança de dia zero desconhecida e “muito sofisticada”. Uma vez lá dentro, os cibercriminosos abusam da interface de linha de comando (CLI) do Cisco IOS para substituir o firmware oficial do roteador por uma imagem de firmware comprometida.
O comunicado alerta que o processo começa com a modificação do firmware na memória por meio da tecnologia “hot patching”, que é o ponto de entrada necessário para instalar um bootloader e firmware modificados. Uma vez instalado, o firmware modificado pode ignorar os recursos de segurança do roteador, permitir acesso backdoor, não deixar rastros nos logs e contornar as restrições da lista de controle de acesso (ACL).
Para detectar e impedir as atividades maliciosas da BlackTech, as empresas e organizações são aconselhadas a seguir algumas “melhores práticas de mitigação”. A equipe de TI deve desabilitar conexões de saída, monitorar conexões de entrada e saída, restringir o acesso e monitorar logs aplicando o comando de configuração "transportoutputnone" à linha de teletipo virtual (VTY).
As organizações também devem atualizar os dispositivos de rede com as versões de firmware mais recentes, alterar todas as senhas e chaves se houver preocupação de que uma única senha tenha sido comprometida, realizar verificações regulares de arquivos e memória e monitorar alterações no firmware. Os Estados Unidos e o Japão emitiram alertas sobre roteadores Cisco comprometidos, mas as técnicas descritas no comunicado conjunto poderiam ser facilmente adaptadas a outras marcas conhecidas de equipamentos de rede.
saber mais:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a