Ряд спецслужб и ведомств, таких как АНБ и ФБР, а также правоохранительные органы США и Японии совместно опубликовали всеобъемлющий отчет, в котором описали масштаб и серьезность этой угрозы. В отчете определены различные штаммы вредоносного программного обеспечения, используемые хакерской группой, в том числе BendyBear, Bifrose, SpiderPig и WaterBear, предназначенные для поражения различных операционных систем, включая Windows, Linux и FreeBSD.

Смотрите также Шпионское ПО может проникать на устройства через интернет-объявление

Группа, ответственная за эти кибератаки, известна как BlackTech или под такими псевдонимами как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, занимается этой деятельностью с 2010 года.

Как работают хакеры

  • Способ действий BlackTech заключается в проникновении в филиалы компаний в небольших городах.
  • Для этого они часто используют потенциально более слабые системы защиты.
  • Получив доступ к локальным сетям, хакеры переориентируются на сети материнских организаций.

Их цели охватывают государственный сектор, компании с государственным участием, а также предприятия, работающие в таких областях, как информационные технологии, телекоммуникации и электроника.

Спецслужбы пока не знают, как хакерам это удается

Точные методы, которые применяет BlackTech для получения начального доступа к устройствам-жертвам, остаются нераскрытыми: от кражи учетных данных сотрудников до использования сверхсложных уязвимостей "нулевого дня".

  • Попав на целевые системы, киберпреступники используют технику, известную как "горячую поправку", для модификации прошивки в памяти, что является ключевым шагом для установки скомпрометированного загрузчика и микропрограммы.
  • Эта модифицированная прошивка позволяет хакерам обходить защиту маршрутизатора, устанавливать скрытые бэкдоры, не оставляя следов в системных журналах и переопределять списки контроля доступа (ACL).

Чтобы избежать обнаружения, BlackTech применяет ряд тактик, включая отключение регистрации на скомпрометированных устройствах и использование украденных сертификатов подписи кода для подписания ROM-файлов.

Группа также использует специализированные UDP и TCP-пакеты для активации и деактивации бэкдоров SSH на маршрутизаторах Cisco из-за непредвиденных промежутков времени, что еще больше скрывает их деятельность от системных администраторов.

Смотрите также Как распознать кибератаку: сохраняем бдительность в цифровую эпоху

Ситуация осложняется тем, что Cisco подвергается критике за неспособность поддерживать свое устаревшее оборудование и игнорирование известных уязвимостей в своих маршрутизаторах. В частности, Cisco отказалась выпускать патчи для опасных уязвимостей, таких как CVE-2022-20923 и CVE-2023-20025, в маршрутизаторах, уже давно исчерпавших свой жизненный цикл поддержки. Такие решения создают дополнительные риски для пользователей и открывают возможности использования киберпреступниками.