O grupo de hackers BlackTech, que se acredita ter ligações com as autoridades chinesas, está a realizar ataques generalizados a routers Cisco utilizados em agências governamentais, meios de comunicação, indústria militar e outros setores-chave dos Estados Unidos. As agências de segurança e aplicação da lei dos EUA e do Japão estão soando o alarme à medida que hackers introduzem vulnerabilidades em equipamentos Cisco sem serem notados pelos administradores de sistema.
Fonte da imagem: Cisco
A Agência de Segurança Nacional (NSA), o Federal Bureau of Investigation (FBI) e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), a polícia dos EUA e o Centro Nacional de Preparação para Incidentes e Estratégia de Segurança Cibernética (NISC) do Japão prepararam um relatório sobre as atividades de este grupo de hackers, destacando a seriedade e a escala da ameaça encontrada. O relatório fornece uma lista de malwares como BendyBear, Bifrose, SpiderPig e WaterBear, que são usados para atacar sistemas operacionais Windows, Linux e até mesmo FreeBSD.
A BlackTech, também conhecida como Palmerworm, Temp.Overboard, Circuit Panda e Radio Panda, está envolvida em atividades criminosas desde 2010. Este grupo chinês de APT (Advanced Persistent Threat) cria e utiliza malware especializado para penetrar redes através de equipamentos da Cisco e de outras grandes marcas como Fortinet, SonicWall e TP-Link.
Os hackers da BlackTech preferem atacar filiais de empresas em cidades menores, onde os sistemas de segurança podem ser menos confiáveis. Depois de obter acesso à rede local de filiais, eles se conectam à rede das organizações-mãe. O grupo tem como alvo o sector governamental, empresas com participação estatal, bem como empresas das áreas da indústria, tecnologia de informação, telecomunicações e electrónica.
As especificidades dos métodos pelos quais a BlackTech obtém acesso inicial aos dispositivos das suas vítimas permanecem desconhecidas. Isso pode variar desde roubo de credenciais de funcionários até vulnerabilidades desconhecidas e extremamente sofisticadas de dia zero. Uma vez infiltrados, os cibercriminosos usam a interface de linha de comando (CLI) do Cisco IOS para substituir o firmware legítimo do roteador por uma versão comprometida.
Tudo começa com o firmware sendo modificado na memória usando o método “hot patching”. Esta etapa é crítica para instalar um bootloader e firmware modificados. Assim que a instalação for concluída, o firmware modificado pode ignorar os mecanismos de segurança do roteador, ativar backdoors, sem deixar rastros nos logs do sistema e ignorar as restrições definidas pelas listas de controle de acesso (ACLs).
Os cibercriminosos usam uma variedade de métodos para ocultar sua presença nas redes das vítimas, incluindo desabilitar o registro em dispositivos comprometidos e usar certificados de assinatura de código roubados para assinar arquivos ROM. Os hackers usam pacotes UDP e TCP especializados para ativar e desativar backdoors SSH em roteadores Cisco em momentos aleatórios, ocultando assim sua atividade dos administradores de sistema.
A Cisco está agravando o problema ao se recusar a oferecer suporte ao seu hardware legado ou a corrigir vulnerabilidades conhecidas em seus roteadores. Por exemplo, a empresa recusa-se regularmente a corrigir vulnerabilidades perigosas como CVE-2022-20923 e CVE-2023-20025 nos seus routers desatualizados, cujo período de suporte expirou há muito tempo. Assim, na primavera de 2023, a Cisco recusou-se a lançar um patch para roteadores destinados ao uso doméstico e pequenas empresas nos quais foi encontrada uma vulnerabilidade perigosa. Isto cria riscos adicionais para os utilizadores e abre oportunidades para os cibercriminosos.
Para identificar e bloquear atividades maliciosas da BlackTech, as empresas e organizações são fortemente encorajadas a manter estratégias ideais de mitigação de riscos. Os profissionais de TI devem bloquear conexões de saída usando o comando de configuração “transport output none” para linhas de teletipo virtual (VTY), monitorar todas as conexões, restringir o acesso e manter logs de eventos detalhados nos logs do sistema.