A kínai BlackTech a router firmware-ében rejtőzik

A BlackTech bizonyítottan képes a router firmware-ének észlelés nélküli módosítására, valamint a routerek megbízhatósági (domain-trust) kapcsolatainak kihasználására.

A BlackTech (más néven Palmerworm, Temp.Overboard, Circuit Panda és Radio Panda) az Amerikai Egyesült Államok és Japán hadseregét támogató szervezeteket, kormányzati, ipari, technológiai, média, elektronikai és telekommunikációs szektorait vette célba. A vállalatok nemzetközi leányvállalatai is a célpontok között vannak. A támadók kihasználják a megbízható hálózati kapcsolatokat, hogy bővítsék hozzáférésüket a célhálózatokhoz.

A BlackTech egyedi fejlesztésű rosszindulatú payloadokat és távoli hozzáférésű eszközöket (RAT) használ az áldozatok Windows, Linux és FreeBSD operációs rendszereihez való hozzáféréshez. Az eszközöket folyamatosan frissítik, lopott ”kód aláíró” tanúsítványokat használnak a rosszindulatú payloadok hitelesítésére, amelyek valódinak tűnhetnek, ezáltal a biztonsági szoftverek számára nehezebben észlelhetők.

A kártékony aktorok bizonyos Cisco IOS®-alapú routerek firmware-jét egy rosszindulatúra cserélik, amely lehetővé teszi az SSH-n keresztüli backdoor hozzáférést. Ez egy speciális felhasználónevet tartalmaz, amely nem igényel további hitelesítést. Amennyiben a backdoor engedélyezve van, a router kapcsolódó naplózási funkciói kihagyásra kerülnek. A firmware betölt egy beágyazott IOS image-t, majd megkerüli a router beépített biztonsági funkcióit azáltal, hogy először telepíti a régebbi, legitim firmware-t. Ez módosításra kerül a memóriában, hogy lehetővé tegyenek egy másik, aláíratlan rendszerbetöltő és firmware telepítését. A BlackTech által létrehozott Embedded Event Manager (EEM) házirend meghatározott parancsokra vár, hogy végrehajtsa az obfuszkálást, vagy megtagadja meghatározott legitim parancsok végrehajtását (például megakadályozza a forensic elemzést). A módosított utasítások megkerülik a parancsnaplózást, az IP-cím ACL-eket és a hibanaplózást.

Ezek a módszerek nem korlátozódnak kizárólag a Cisco routerekre, hasonló technikák használhatók más hálózati eszközökön is.

(cisa.gov)