Les pirates informatiques parrainés par l’État ne sont désormais plus une nouveauté en ce qui concerne les routeurs et autres équipements réseau de grandes marques. Un groupe cybercriminel chinois bien connu appelé « BlackTech » cible activement les routeurs Cisco pour exfiltrer des données sensibles. La National Security Agency (NSA) des États-Unis, le Federal Bureau of Investigation (FBI) et la Cybersecurity and Infrastructure Security Agency (CISA), ainsi que la police et les autorités japonaises en matière de cybersécurité, ont publié un avis conjoint détaillant les activités de BlackTech et fournissant des recommandations pour atténuer les conséquences des attaques.
BlackTech, également connu sous les noms de Palmerworm, Temp.Overboard, CircuitPanda et RadioPanda, est actif depuis 2010. Le rapport indique que ces cybercriminels sont originaires de Chine et ont historiquement ciblé des organisations telles que le gouvernement, l'industrie, les médias, l'électronique, les télécommunications et les entreprises de défense aux États-Unis et en Asie de l'Est.
Ce cyber-acteur se spécialise dans le développement de logiciels malveillants personnalisés et de « mécanismes de persistance personnalisés » pour compromettre les marques de routeurs populaires. Les États-Unis et le Japon préviennent que ces programmes malveillants personnalisés incluent des fonctionnalités dangereuses telles que la désactivation de la journalisation, l'abus des relations avec des domaines de confiance et la compromission de données sensibles. L'avertissement comprend une liste de souches de logiciels malveillants spécifiques, telles que BendyBear, Bifrose, SpiderPig et WaterBear, utilisées pour attaquer les systèmes d'exploitation Windows, Linux et même FreeBSD.
L'avis ne fournit aucun indice sur la méthode utilisée par BlackTech pour obtenir un accès initial à l'appareil de la victime, qui pourrait inclure des informations d'identification volées communes ou même une vulnérabilité de sécurité Zero Day inconnue et « très sophistiquée ». Une fois à l'intérieur, les cybercriminels abusent de l'interface de ligne de commande (CLI) de Cisco IOS pour remplacer le micrologiciel officiel du routeur par une image de micrologiciel compromise.
L'avis prévient que le processus commence par la modification du micrologiciel en mémoire via la technologie de « hot patching », qui est le point d'entrée requis pour installer un chargeur de démarrage modifié et un micrologiciel modifié. Une fois installé, le micrologiciel modifié peut contourner les fonctionnalités de sécurité du routeur, activer l'accès par porte dérobée, ne laisser aucune trace dans les journaux et contourner les restrictions de la liste de contrôle d'accès (ACL).
Afin de détecter et de contrecarrer les activités malveillantes de BlackTech, il est conseillé aux entreprises et aux organisations de suivre certaines « meilleures pratiques d'atténuation ». Le personnel informatique doit désactiver les connexions sortantes, surveiller les connexions entrantes et sortantes, restreindre l'accès et surveiller les journaux en appliquant la commande de configuration « transportoutputnone » à la ligne de télétype virtuel (VTY).
Les organisations doivent également mettre à niveau les périphériques réseau avec les dernières versions du micrologiciel, modifier tous les mots de passe et toutes les clés si l'on craint qu'un seul mot de passe ait été compromis, effectuer une vérification régulière des fichiers et de la mémoire et surveiller les modifications du micrologiciel. Les États-Unis et le Japon ont émis des avertissements concernant les routeurs Cisco compromis, mais les techniques décrites dans l'avis conjoint pourraient facilement être adaptées à d'autres marques connues d'équipements réseau.
apprendre encore plus:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a