Gli hacker sponsorizzati dalla Cina impiantano backdoor sui dispositivi Cisco per svolgere attività di spionaggio

Le forze dell’ordine negli Stati Uniti e in Giappone hanno avvertito che il gruppo cinese APT BlackTech sta hackerando dispositivi periferici e introducendo backdoor personalizzate nei loro firmware per accedere alle reti aziendali di aziende internazionali americane e giapponesi.

BlackTech (noto anche come Palmerworm, Circuit Panda e Radio Panda) è un gruppo APT “governativo” noto per i suoi attacchi di spionaggio informatico contro organizzazioni giapponesi, taiwanesi e di Hong Kong dal 2010. 

Gli obiettivi degli attacchi BlackTech sono solitamente i settori industriale e tecnologico, le aziende dei media, dell’elettronica e delle telecomunicazioni, nonché l’industria della difesa e le agenzie governative.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Un avviso congiunto emesso da FBI, NSA, CISA e forze dell’ordine giapponesi afferma che BlackTech utilizza malware personalizzato e regolarmente aggiornato per creare backdoor nei dispositivi di rete, che vengono poi utilizzate per prendere piede nella rete di destinazione e ottenere l’accesso iniziale alle organizzazioni e rubare i dati (reindirizzando il traffico verso server controllati dagli aggressori).

Va sottolineato che il malware personalizzato del gruppo viene talvolta firmato utilizzando certificati legittimi rubati, il che ne complica ulteriormente il rilevamento.

“Una volta ottenuto l’accesso iniziale alla rete di destinazione e l’accesso come amministratore ai dispositivi periferici, i criminali informatici BlackTech spesso modificano il proprio firmware per nascondere la propria attività e prendere piede nella rete. Per espandere la propria presenza nella rete di un’organizzazione, gli aggressori BlackTech attaccano altri router di filiali (solitamente dispositivi utilizzati nelle filiali remote per connettersi alla sede centrale dell’azienda) e abusano della fiducia tra i dispositivi sulla rete aziendale presa di mira. Gli aggressori utilizzano poi i router delle filiali compromesse come parte della loro infrastruttura per proxare il traffico, mescolarlo con il traffico della rete aziendale e passare ad altre vittime sulla stessa rete aziendale”, riferiscono gli esperti.

La modifica del firmware consente agli hacker di mascherare le modifiche nella configurazione del dispositivo e nella cronologia dei comandi eseguiti. Inoltre, gli aggressori possono disabilitare completamente gli accessi ai dispositivi compromessi mentre sono impegnati nelle loro operazioni.

Ad esempio, sui router Cisco, gli hacker attivano e disattivano la backdoor SSH utilizzando speciali pacchetti TCP o UDP trasmessi al dispositivo. Ciò consente loro di evitare il rilevamento e di attivare la backdoor solo quando necessario.

Inoltre, BlackTech può essere incorporato nella memoria dei dispositivi Cisco per bypassare le funzioni di verifica della firma nel Cisco ROM Monitor. Ciò consente loro di scaricare firmware modificato con backdoor preinstallate che danno accesso al dispositivo senza effettuare il login.

È stato inoltre osservato che durante l’hacking dei router Cisco, gli aggressori modificano le policy EEM utilizzate per automatizzare le attività ed eliminano determinate righe di comando per bloccarne l’esecuzione e complicare la successiva analisi dell’attacco. Per gli stessi scopi, gli aggressori possono disabilitare completamente la registrazione.

Va notato che creare il proprio malware personalizzato non è qualcosa di nuovo per BlackTech.

Già nel 2021, i ricercatori della Palo Alto Networks Unit 42 e NTT Security avevano messo in guardia da questa tattica del gruppo. Inoltre, un rapporto Trend Micro ancora più vecchio menzionava la tattica di compromettere i router vulnerabili per utilizzarli come server di comando e controllo.

Dopo la pubblicazione di questo avviso delle forze dell’ordine, i rappresentanti di Cisco hanno rilasciato una dichiarazione ufficiale in cui hanno sottolineato che gli aggressori compromettono i router dopo aver ricevuto le credenziali amministrative (da dove gli hacker le ottengono non è specificato) e non vi è alcuna indicazione che stiano sfruttando eventuali vulnerabilità. .

Cisco ha inoltre affermato che la possibilità di introdurre firmware dannoso è disponibile solo nei prodotti più vecchi dell’azienda e che le nuove versioni hanno capacità di sicurezza più ampie e impediscono l’uso di tale firmware.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli