Низка спецслужб та відомств, такі як АНБ та ФБР, а також правоохоронні органи США і Японії спільно опублікували всеосяжний звіт, в якому описали масштаб і серйозність цієї загрози. У звіті визначено різні штами шкідливого програмного забезпечення, які використовує хакерська група, зокрема BendyBear, Bifrose, SpiderPig і WaterBear, призначені для ураження різних операційних систем, включаючи Windows, Linux і FreeBSD.
Дивіться також Шпигунське ПЗ може проникати на пристрої через інтернет-оголошення
Група, відповідальна за ці кібератаки, відома як BlackTech або під такими псевдонімами, як Palmerworm, Temp.Overboard, Circuit Panda і Radio Panda, займається цією діяльністю з 2010 року.
Як працюють хакери
- Спосіб дій BlackTech полягає у проникненні до філій компаній у невеликих містах.
- Для цього вони часто використовуючи потенційно слабкіші системи захисту.
- Отримавши доступ до цих локальних мереж, хакери переорієнтовуються на мережі материнських організацій.
Їхні цілі охоплюють державний сектор, компанії з державною участю, а також підприємства, що працюють у таких галузях, як інформаційні технології, телекомунікації та електроніка.
Спецслужби поки не знають, як хакерам це вдається
Точні методи, які застосовує BlackTech для отримання початкового доступу до пристроїв-жертв, залишаються нерозкритими: від крадіжки облікових даних співробітників до використання надскладних вразливостей "нульового дня".
- Потрапивши на цільові системи, кіберзлочинці використовують техніку, відому як "гаряче виправлення", для модифікації прошивки в пам'яті, що є ключовим кроком для встановлення скомпрометованого завантажувача та мікропрограми.
- Ця модифікована прошивка дозволяє хакерам обходити захист маршрутизатора, встановлювати приховані бекдори, не залишаючи слідів у системних журналах, і перевизначати списки контролю доступу (ACL).
Щоб уникнути виявлення, BlackTech застосовує низку тактик, включаючи відключення реєстрації на скомпрометованих пристроях і використання викрадених сертифікатів підпису коду для підписання ROM-файлів.
Група також використовує спеціалізовані UDP і TCP-пакети для активації та деактивації бекдорів SSH на маршрутизаторах Cisco через непередбачувані проміжки часу, що ще більше приховує їхню діяльність від системних адміністраторів.
Дивіться також Як розпізнати кібератаку: зберігаємо пильність у цифрову епоху
Ситуація ускладнюється тим, що Cisco зазнає критики за нездатність підтримувати своє застаріле обладнання та ігнорування відомих вразливостей у своїх маршрутизаторах. Зокрема, Cisco відмовилася випускати патчі для небезпечних вразливостей, таких як CVE-2022-20923 і CVE-2023-20025, в маршрутизаторах, які вже давно вичерпали свій життєвий цикл підтримки. Такі рішення створюють додаткові ризики для користувачів і відкривають можливості для використання кіберзлочинцями.