Ostrzeżenie jest poważne. Zarówno NSA, jak i FBI ostrzegają, iż chiński aktor APT nazywany BlackTech włamuje się do urządzeń brzegowych sieci i wykorzystuje implanty systemu sprzętowego, aby po cichu serfować po sieciach korporacyjnych firm amerykańskich i japońskich.
Nie tak dawno, bo w kwietniu, pisaliśmy o podobnych włamaniach.
Według wspólnego raportu NSA, FBI, CISA i japońskie NISC zaobserwowały, iż grupa BlackTech modyfikuje oprogramowanie sprzętowe routerów Cisco, aby dyskretnie dostawać się z międzynarodowych filii do centrali w Japonii i Stanach Zjednoczonych.
„W szczególności po zdobyciu początkowego punktu oparcia w sieci docelowej i uzyskaniu dostępu administratora do urządzeń brzegowych sieci cyberprzestępcy z BlackTech często modyfikują oprogramowanie sprzętowe, aby ukryć swoją aktywność na urządzeniach brzegowych i w ten sposób jeszcze bardziej utrzymać trwałość w sieci” – ostrzegają agencje.
Taktyka jest następująca: napastnicy z BlackTech atakują routery w oddziałach – zwykle mniejsze urządzenia używane w odległych oddziałach do łączenia się z centralą firmy – i wykorzystują zaufaną relację tamtejszych routerów do uzyskania dostępu w docelowej sieci korporacyjnej.
Następnie hakerzy wykorzystują zaatakowane routery w oddziałach jako część swojej infrastruktury do przesyłania ruchu, proxy, mieszania się z ruchem w sieci firmowej i przekierowywania do innych ofiar w tej samej sieci korporacyjnej.
BlackTech, działający od co najmniej 2010 r., to aktywny chiński aktor APT, którego celem są sektory: rządowy, przemysłowy, technologiczny, medialny, elektroniczny i telekomunikacyjny, w tym podmioty wspierające siły zbrojne USA i Japonii.
Aktor tradycyjnie wykorzystywał niestandardowe złośliwe oprogramowanie, narzędzia podwójnego zastosowania i taktyki takie jak wyłączanie logowania na routerach, aby ukryć swoje działania.
Według poradnika hakerzy BlackTech zhakowali kilka routerów Cisco, korzystając z odmian niestandardowego backdoora systemu układowego, który jest włączany i wyłączany dzięki specjalnie spreparowanych pakietów TCP lub UDP.
W niektórych przypadkach grupę przyłapano na wymianie systemu sprzętowego poszczególnych routerów Cisco z systemem iOS na złośliwe oprogramowanie.
„Chociaż aktorzy BlackTech mieli już podwyższone uprawnienia na routerze, umożliwiające wymianę systemu sprzętowego dzięki wiersza poleceń, złośliwe oprogramowanie jest wykorzystywane jako zapewniający trwały dostęp backdoor i zaciemnienie przyszłej szkodliwej aktywności” – stwierdziły agencje.
W zaobserwowanych atakach zmodyfikowane oprogramowanie wykorzystywało wbudowany backdoor SSH, który umożliwiał podmiotom BlackTech utrzymanie dostępu do zaatakowanego routera bez rejestrowania jakichkolwiek połączeń.
Napastnicy ominęli także wbudowane funkcje zabezpieczeń routera, stosując złożony schemat obejmujący instalację starszych, legalnych plików systemu sprzętowego, które następnie są modyfikowane w pamięci w celu ominięcia kontroli podpisu systemu sprzętowego i uniknięcia wykrycia.
We wspólnym poradniku agencje zalecają, aby obrońcy monitorowali zarówno połączenia przychodzące, jak i wychodzące z urządzeń sieciowych do systemów zewnętrznych i wewnętrznych oraz sprawdzali dzienniki pod kątem udanych i nieudanych prób logowania dzięki „dziennika niepowodzeń logowania” i „dziennika logowania on – dziennika sukcesów” poleceń konfiguracyjnych.
Firmy są również zachęcane do modernizacji urządzeń i zmian na takie, które wyposażone są w funkcję bezpiecznego rozruchu, do przeglądania dzienników generowanych przez urządzenia sieciowe i monitorowania pod kątem nieautoryzowanych ponownych uruchomień, zmian wersji systemu operacyjnego, zmian w konfiguracji lub prób aktualizacji systemu sprzętowego.
Co na to Cisco i eksperci?
Cisco odpowiedziało na raport. Firma opublikowała biuletyn stwierdzający, iż najczęstszym wektorem dostępu początkowego w tych atakach jest kradzież lub słabe poświadczenia administracyjne. „Nic nie wskazuje na to, aby jakiekolwiek luki Cisco zostały wykorzystane. Osoby atakujące wykorzystały naruszone dane uwierzytelniające do przeprowadzenia konfiguracji na poziomie administracyjnym i wprowadzenia zmian w oprogramowaniu”.
Firma twierdzi, iż instalowanie zainfekowanego systemu poprzez pierwszą aktualizację do starszej wersji systemu wpływa tylko na starsze urządzenia i nie jest możliwe w nowoczesnych routerach Cisco.
„Wspomniane w raporcie skradzione certyfikaty do podpisywania kodu nie pochodzą od Cisco. Cisco nie ma żadnej wiedzy na temat kradzieży certyfikatów do podpisywania kodu w celu przeprowadzenia jakiegokolwiek ataku na urządzenia infrastruktury Cisco” – argumentowała firma.
Eksperci ds. bezpieczeństwa sprzętu twierdzą, iż nie są zaskoczeni ujawnieniem zaawansowanych atakujących czających się w cieniu systemu sprzętowego, aby zapewnić dostępność i stworzyć możliwość przeprowadzania potajemnych ataków.
„Taktyka stosowana przez grupy ATP nie jest nowa” – stwierdził w swojej wypowiedzi dla SecurityWeek Alex Matrosov, dyrektor generalny i szef badań w Binarly, firmie z Los Angeles tworzącej technologię zabezpieczającą ekosystem systemu sprzętowego. „Niestety nie jest to niespodzianką, zaobserwowaliśmy wzrost liczby ataków na oprogramowanie sprzętowe dzięki BlackLotus, CosmicStrand i MoonBounce, używając tylko ostatnich przykładów, ale wpływ tej kampanii BlackTech jest wyraźnym postępem udokumentowanych ataków związanych z zainfekowanym oprogramowaniem” – dodał Matrosov.
Matrosov ostro krytykował dostawców urządzeń, takich jak Cisco, którzy minimalizują wagę załatanych błędów i sugerują wysokie bariery ataku, jak konieczność zdalnego wykonania kodu lub kradzież danych uwierzytelniających. „Prowadzi to do niższych wyników CVSS, odwracając uwagę i pilność łatania. W rezultacie wiele systemów pozostaje zagrożonych z powodu bagatelizowania [wagi podatności]” – dodał.
W oświadczeniu Eclypsium stwierdzono, iż odkrycie BlackTech to kolejny przykład na to, iż łańcuch dostaw infrastruktury sieciowej znajduje się w stanie kryzysu. „Jasne jest, iż stare sposoby zabezpieczania sieci i punktów końcowych nie są już skuteczne. Infrastruktura sieciowa stała się łatwym celem dla większości cyberprzestępców. Zarówno grupy zajmujące się oprogramowaniem ransomware, takie jak LockBit 3.0, jak i podmioty inspirowane przez państwa wykorzystują urządzenia sieciowe jako wektor początkowego dostępu lub w celu zapewnienia dostępu” – podała firma.