Спецслужбы обеспокоены: китайские хакеры проникли в критическую инфраструктуру США

Ряд спецслужб и ведомств, таких как АНБ и ФБР, а также правоохранительные органы США и Японии совместно опубликовали всеобъемлющий отчет, в котором описали масштаб и серьезность этой угрозы. В отчете определены различные штаммы вредоносного программного обеспечения, используемые хакерской группой, в том числе BendyBear, Bifrose, SpiderPig и WaterBear, предназначенные для поражения различных операционных систем, включая Windows, Linux и FreeBSD.

Смотрите также Шпионское ПО может проникать на устройства через интернет-объявление

Группа, ответственная за эти кибератаки, известна как BlackTech или под такими псевдонимами как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, занимается этой деятельностью с 2010 года.

BlackTech, принадлежащий группе Advanced Persistent Threat (APT) китайского происхождения, специализируется на создании и развертывании сложного вредоносного программного обеспечения для проникновения в сети через сетевое оборудование, в частности Cisco, а также других крупных брендов, таких как Fortinet, SonicWall и TP-Link .

Как работают хакеры

• Способ действий BlackTech заключается в проникновении в филиалы компаний в небольших городах.
• Для этого они часто используют потенциально более слабые системы защиты.
• Получив доступ к локальным сетям, хакеры переориентируются на сети материнских организаций.

Их цели охватывают государственный сектор, компании с государственным участием, а также предприятия, работающие в таких областях, как информационные технологии, телекоммуникации и электроника.

Спецслужбы пока не знают, как хакерам это удается

Точные методы, которые применяет BlackTech для получения начального доступа к устройствам-жертвам, остаются нераскрытыми: от кражи учетных данных сотрудников до использования сверхсложных уязвимостей "нулевого дня".

• Попав на целевые системы, киберпреступники используют технику, известную как "горячую поправку", для модификации прошивки в памяти, что является ключевым шагом для установки скомпрометированного загрузчика и микропрограммы.
• Эта модифицированная прошивка позволяет хакерам обходить защиту маршрутизатора, устанавливать скрытые бэкдоры, не оставляя следов в системных журналах и переопределять списки контроля доступа (ACL).

Чтобы избежать обнаружения, BlackTech применяет ряд тактик, включая отключение регистрации на скомпрометированных устройствах и использование украденных сертификатов подписи кода для подписания ROM-файлов.

Группа также использует специализированные UDP и TCP-пакеты для активации и деактивации бэкдоров SSH на маршрутизаторах Cisco из-за непредвиденных промежутков времени, что еще больше скрывает их деятельность от системных администраторов.

Смотрите также Как распознать кибератаку: сохраняем бдительность в цифровую эпоху

Ситуация осложняется тем, что Cisco подвергается критике за неспособность поддерживать свое устаревшее оборудование и игнорирование известных уязвимостей в своих маршрутизаторах. В частности, Cisco отказалась выпускать патчи для опасных уязвимостей, таких как CVE-2022-20923 и CVE-2023-20025, в маршрутизаторах, уже давно исчерпавших свой жизненный цикл поддержки. Такие решения создают дополнительные риски для пользователей и открывают возможности использования киберпреступниками.

Что делать. На фоне этих событий рекомендуется организациям и компаниям внедрять оптимальные стратегии уменьшения рисков. Это включает блокировку исходящих соединений с помощью команды конфигурации "transport output none" для линий виртуального телетайпа (VTY), мониторинг всех соединений, внедрение ограничений доступа и ведение исчерпывающих журналов событий для выявления и предотвращения злонамеренной деятельности, связанной с хакерской. группой BlackTech.