Техно Інтернет Спецслужби занепокоєні: китайські хакери проникли в критичну інфраструктуру США

Спецслужби занепокоєні: китайські хакери проникли в критичну інфраструктуру США

Автор:

Михайло Года

13:33, 2 жовтня 2023

3 хв

Читать новость на русском

Ілюстративне фото / Unsplash

Хакерська група, пов'язана з китайською владою, організовує широкомасштабні атаки на маршрутизатори Cisco, встановлені в критично важливих секторах Сполучених Штатів. Атаки, які тривають вже певний час, викликали тривогу в американських і японських службах безпеки, а також у правоохоронних органах.

Джерело:

CISA

Низка спецслужб та відомств, такі як АНБ та ФБР, а також правоохоронні органи США і Японії спільно опублікували всеосяжний звіт, в якому описали масштаб і серйозність цієї загрози. У звіті визначено різні штами шкідливого програмного забезпечення, які використовує хакерська група, зокрема BendyBear, Bifrose, SpiderPig і WaterBear, призначені для ураження різних операційних систем, включаючи Windows, Linux і FreeBSD.

Дивіться також Шпигунське ПЗ може проникати на пристрої через інтернет-оголошення

Група, відповідальна за ці кібератаки, відома як BlackTech або під такими псевдонімами, як Palmerworm, Temp.Overboard, Circuit Panda і Radio Panda, займається цією діяльністю з 2010 року.

Як працюють хакери

Спосіб дій BlackTech полягає у проникненні до філій компаній у невеликих містах.
Для цього вони часто використовуючи потенційно слабкіші системи захисту.
Отримавши доступ до цих локальних мереж, хакери переорієнтовуються на мережі материнських організацій.

Їхні цілі охоплюють державний сектор, компанії з державною участю, а також підприємства, що працюють у таких галузях, як інформаційні технології, телекомунікації та електроніка.

Спецслужби поки не знають, як хакерам це вдається

Точні методи, які застосовує BlackTech для отримання початкового доступу до пристроїв-жертв, залишаються нерозкритими: від крадіжки облікових даних співробітників до використання надскладних вразливостей "нульового дня".

Потрапивши на цільові системи, кіберзлочинці використовують техніку, відому як "гаряче виправлення", для модифікації прошивки в пам'яті, що є ключовим кроком для встановлення скомпрометованого завантажувача та мікропрограми.
Ця модифікована прошивка дозволяє хакерам обходити захист маршрутизатора, встановлювати приховані бекдори, не залишаючи слідів у системних журналах, і перевизначати списки контролю доступу (ACL).

Щоб уникнути виявлення, BlackTech застосовує низку тактик, включаючи відключення реєстрації на скомпрометованих пристроях і використання викрадених сертифікатів підпису коду для підписання ROM-файлів.

Група також використовує спеціалізовані UDP і TCP-пакети для активації та деактивації бекдорів SSH на маршрутизаторах Cisco через непередбачувані проміжки часу, що ще більше приховує їхню діяльність від системних адміністраторів.

Дивіться також Як розпізнати кібератаку: зберігаємо пильність у цифрову епоху

Ситуація ускладнюється тим, що Cisco зазнає критики за нездатність підтримувати своє застаріле обладнання та ігнорування відомих вразливостей у своїх маршрутизаторах. Зокрема, Cisco відмовилася випускати патчі для небезпечних вразливостей, таких як CVE-2022-20923 і CVE-2023-20025, в маршрутизаторах, які вже давно вичерпали свій життєвий цикл підтримки. Такі рішення створюють додаткові ризики для користувачів і відкривають можливості для використання кіберзлочинцями.