.
Imagens Getty
Hackers apoiados pelo governo chinês estão plantando malware em roteadores que fornecem acesso backdoor indetectável e duradouro às redes de empresas multinacionais nos EUA e no Japão, disseram os governos de ambos os países na quarta-feira.
O grupo de hackers, rastreado sob nomes como BlackTech, Palmerworm, Temp.Overboard, Circuit Panda e Radio Panda, está operando desde pelo menos 2010, informou um comunicado conjunto publicado por entidades governamentais nos EUA e no Japão. O grupo tem um histórico de atingir organizações públicas e empresas privadas nos EUA e no Leste Asiático. O agente da ameaça está de alguma forma obtendo credenciais de administrador para dispositivos de rede usados por subsidiárias e usando esse controle para instalar firmware malicioso que pode ser acionado com “pacotes mágicos” para executar tarefas específicas.
Os hackers então usam o controle desses dispositivos para se infiltrar nas redes de empresas que têm relacionamentos de confiança com as subsidiárias violadas.
“Especificamente, ao obter uma posição inicial em uma rede alvo e obter acesso de administrador aos dispositivos de borda da rede, os atores cibernéticos da BlackTech frequentemente modificam o firmware para ocultar sua atividade nos dispositivos de borda para manter ainda mais a persistência na rede”, escreveram autoridades no comunicado de quarta-feira. . “Para estender sua posição em uma organização, os atores da BlackTech visam roteadores de filiais – normalmente dispositivos menores usados em filiais remotas para se conectar a uma sede corporativa – e então abusam do relacionamento confiável dos roteadores de filiais dentro da rede corporativa visada. Os atores da BlackTech então usam os roteadores de filiais comprometidos voltados ao público como parte de sua infraestrutura para proxy do tráfego, misturando-se ao tráfego da rede corporativa e direcionando-os para outras vítimas na mesma rede corporativa.”
A maior parte do comunicado de quarta-feira referia-se aos roteadores vendidos pela Cisco. Num comunicado próprio, a Cisco disse que os agentes da ameaça estão a comprometer os dispositivos após adquirirem credenciais administrativas e que não há indicação de que estejam a explorar vulnerabilidades. A Cisco também disse que a capacidade do hacker de instalar firmware malicioso existe apenas para produtos mais antigos da empresa. Os mais novos estão equipados com recursos de inicialização segura que os impedem de executar firmware não autorizado, disse a empresa.
Para instalar seu bootloader modificado, disse o comunicado dos EUA e do Japão, os agentes da ameaça instalam uma versão mais antiga do firmware legítimo e, em seguida, modificam-no à medida que ele é executado na memória. A técnica substitui as verificações de assinatura nas funções de validação de assinatura do monitor Cisco ROM, especificamente funções do teste de carga de imagem IOS da Cisco e do teste de integridade ROMMON atualizável em campo. O firmware modificado, que consiste em um carregador Cisco IOS que instala uma imagem IOS incorporada, permite que os roteadores comprometidos façam conexões por SSH sem serem registrados em logs de eventos.
Os membros da BlackTech usam o firmware modificado para substituir o código no firmware legítimo para adicionar o backdoor SSH, ignorar o registro e monitorar o tráfego de entrada em busca de “pacotes mágicos”. O termo refere-se a pequenos pedaços de dados que os invasores enviam aos roteadores infectados. Embora pareçam aleatórios e inócuos nos logs do sistema, esses pacotes permitem que os invasores habilitem ou desabilitem sub-repticiamente a funcionalidade backdoor.
O comunicado de quarta-feira instou os administradores a tomarem várias medidas para detectar qualquer infecção e prevenir a possibilidade de infecção. Ele alertou que algumas técnicas tradicionais de detecção, como a verificação de assinaturas criptográficas no firmware, não são eficazes.
.
