Спонсорирани от китайското правителство хакери атакуват рутерите на Cisco
Злонамерена акция, ориентирана към най-големия производител на телекомуникационно съоръжение на Земята
Емил Василев преди 1 минута 2 СподелиНай-четени
КосмосЕмил Василев - 19:26 | 27.09.2023НАСА разкри наличието на капсулата с пробите от метеорита Бенну – открит е черен прахуляк на всички места
IT НовиниЕмил Василев - 15:56 | 27.09.2023Тази „ вятърна слънчева кула “ може да създава над 234 хиляди kWh електричество годишно
АвтомобилиДаниел Десподов - 9:32 | 28.09.2023„ Имаме голям проблем “ – заводите на Volkswagen и Audi в целия свят стопираха работа
Емил Василевhttps://www.kaldata.com/Спонсорираните от страната хакери, които компрометират рутери и друго мрежово съоръжение на огромни марки към този момент не са оригиналност.
Добре позната китайска хакерска формация, известна като „ BlackTech “ интензивно се насочва към рутери на Cisco за ексфилтрация (кражба) на чувствителни данни. Американската разследваща организация NSA, ФБР и Агенцията за киберсигурност и инфраструктурна сигурност (CISA), дружно с японската полиция и органите за киберсигурност разгласиха взаимна консултация, в която в детайли се разказват дейностите на „ BlackTech„ и дадоха рекомендации за намаляване на офанзивите.
Известни също като Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda – екипът на BlackTech е деен от 2010 година насам. В консултацията се споделя, че киберпрестъпниците са директно спонсорирани от китайската комунистическа тирания и че в предишното са се насочвали към организации от държавния бранш, индустрията, медиите, електрониката, телекомуникациите и отбранителните контрактори в Съединени американски щати и Източна Азия.
Тяхнота мощ е създаването на персонализиран злотворен програмен продукт, който да компрометира известни марки рутери. Тези персонализирани зловредни стратегии включват рискови функционалности за деактивиране на регистрирането, корист с връзките с доверени домейни и компрометиране на чувствителни данни, предизвестяват Съединени американски щати и Япония. Консултацията включва лист на съответни варианти на злотворен програмен продукт като BendyBear, Bifrose, SpiderPig и WaterBear, които се употребяват за атакуване на операционни системи Windows, Linux и даже FreeBSD.
Консултацията не дава никаква визия за методите, употребявани от „ BlackTech “ за приемане на първичен достъп до устройствата на жертвите, които може да включват общи откраднати идентификационни данни или даже някаква незнайна, „ извънредно комплицирана “ накърнимост в сигурността от вида „ нулев ден “. Когато обхванат в системата, киберпрестъпниците употребяват интерфейса на командния ред (CLI) на Cisco IOS, с цел да заменят формалния фърмуер на рутера с негов злепоставен облик.
Процесът стартира, когато фърмуерът се модифицира в паметта посредством техниката „ hot patching„, което съставлява входната точка, нужна за инсталиране на модифициран „ bootloader “ и модифициран фърмуер. След като инсталацията бъде осъществена, модифицираният фърмуер може да заобиколи функционалностите за сигурност на маршрутизатора и да даде опция за достъп през „ задна малка врата “, която не оставя следи в регистрите и заобикаля рестриктивните мерки на листата за надзор на достъпа (ACL).
За да се открият и осуетят злонамерените дейности на „ BlackTech “ се предлага фирмите и организациите да следват „ най-хубави практики за намаляване на последствията “. ИТ личният състав би трябвало да деактивира изходящите връзки, като приложи конфигурационната команда „ transport output none “ към линиите на виртуалния телетип (VTY), да следи както входящите, по този начин и изходящите връзки, да лимитира достъпа и да следи логовете.
Организациите би трябвало също по този начин да обновят мрежовите устройства с най-новите версии на фърмуера, да сменят всички пароли и ключове, когато има опасения, че една ключова дума е била компрометирана, от време на време да правят инспекция на файловете и паметта и да наблюдават за промени във фърмуера. Съединени американски щати и Япония предизвестяват за компрометирани маршрутизатори на Cisco, само че техниките, разказани в взаимната консултация могат елементарно да бъдат приспособени към други добре познати марки мрежови устройства.
