Cyberbezpieczeństwo
USA i Japonia ostrzegają: Chiny mogą włamywać się do routerów Cisco
Amerykańskie i japońskie agencje ds. cyberbezpieczeństwa ostrzegają przed chińską grupą BlackTech. Hakerzy mają włamywać się do urządzeń sieciowych i instalować backdoory, które umożliwiają im dostęp do sieci korporacyjnych.
Ze wspólnego raportu służb amerykańskich: FBI, NSA, CISA i japońskich NISC oraz NPA wynika, że grupa wspierana przez Pekin narusza urządzenia sieciowe w zagranicznych oddziałach dużych firm po to, aby dostać się do ich centrali.
W swojej notatce FBI ostrzega przed złośliwym oprogramowaniem dystrybuowanym przez hakerów z BlackTech. Jednym z jego celów jest tworzenie backdoorów na określonych urządzeniach sieciowych. To z kolei stwarza możliwość kradzieży danych, dzięki przekierowaniu ruchu na serwery grupy przeprowadzającej atak.
We wspólnym oświadczeniu amerykańskich i japońskich agencji bezpieczeństwa możemy przeczytać m.in. o tym, że modyfikacja oprogramowania daje przestępcom możliwość ukrycia zmian konfiguracyjnych, a także historii wykonanych poleceń.
Jak informuje portal Bleeping Computer, opisywane ataki mogą uderzać w routery firmy Cisco.
„Zaobserwowano włączanie i wyłączanie usługi SSH (umożliwiającej bezpośrednie zarządzanie serwerem – red.) za pomocą specjalnie zmodyfikowanych pakietów TCP lub UDP wysyłanych do urządzeń. Metoda ta umożliwia atakującym unikać wykrycia i włączać backdoor jedynie wtedy, gdy jest to im potrzebne" – czytamy na wspomnianej stronie.
Atakującym przypisuje się również modyfikacje pamięci urządzeń Cisco w celu ominięcia funkcji sprawdzania podpisu Cisco ROM Monitor. Dzięki temu działaniu grupa hakerska zyskuje możliwość ładowania zmodyfikowanego oprogramowania, zawierającego backdoory, które umożliwiają dostęp do urządzenia i nie potrzebują do tego logowania.
Osoby badające sprawę zauważyły też, że w przypadku routerów hakerzy dokonują modyfikacji zasad działania EEM (ang. Extended Memory Management) służącej do automatyzacji zadań, a ich celem jest utrudnianie analizy śledczym.
Czytaj też
Odpowiedź Cisco
W związku ze sprawą poprosiliśmy o komentarz biuro prasowe polskiego oddziału firmy Cisco. Poniżej prezentujemy oświadczenie, które otrzymaliśmy w odpowiedzi:
"Firma Cisco jest świadoma istnienia wspólnego zalecenia dot. bezpieczeństwa cybernetycznego (CSA) z 27 września zawierającego szczegółowe informacje nt. działań cyber-aktorów BlackTech, którzy wybrali na cel oprogramowanie sprzętowe routerów od wielu dostawców, w tym Cisco" - czytamy.
"Nic nie wskazuje na to, aby jakiekolwiek luki w zabezpieczeniach Cisco zostały wykorzystane (...). Alert podkreśla pilną potrzebę wykonywania przez firmy aktualizacji, instalowania poprawek i bezpiecznego konfigurowania urządzeń sieciowych, co stanowi kluczowy krok w kierunku utrzymania higieny bezpieczeństwa i osiągnięcia ogólnej odporności sieci" - przekazała firma Cisco.
Czytaj też
Działalność BlackTech
BlackTech to nie jedyna nazwa, pod którą występuje opisywana grupa APT (ang. Advanced Persistent Threat). Radio Panda czy Palmerworm to inne określenia stosowane przez hakerów wspieranych przez chiński rząd.
Swoją „popularność" zyskali oni dzięki przeprowadzaniu akcji cyberszpiegowskich wymierzanych od lat w podmioty z Japonii, Tajwanu czy Hongkongu. Ataki dotyczyły m.in. instytucji rządowych, mediów, usług telekomunikacyjnych czy sektora obronnego.
Więcej na temat hakerów zatrudnianych przez chiński rząd pisaliśmy m.in. w tym tekście.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
