O grupo de hackers BlackTech, que se acredita ter ligações com as autoridades chinesas, está a realizar ataques generalizados a routers Cisco utilizados em agências governamentais, meios de comunicação, indústria militar e outros setores-chave dos Estados Unidos. As agências de segurança e aplicação da lei dos EUA e do Japão estão soando o alarme à medida que hackers introduzem vulnerabilidades em equipamentos Cisco sem serem notados pelos administradores de sistema.
Fonte da imagem: Cisco
A Agência de Segurança Nacional (NSA), o Federal Bureau of Investigation (FBI) e a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), a polícia dos EUA e o Centro Nacional de Preparação para Incidentes e Estratégia de Segurança Cibernética (NISC) do Japão prepararam um relatório sobre as atividades de este grupo de hackers, destacando a seriedade e a escala da ameaça encontrada. O relatório fornece uma lista de malwares como BendyBear, Bifrose, SpiderPig e WaterBear, que são usados para atacar sistemas operacionais Windows, Linux e até mesmo FreeBSD.
A BlackTech, também conhecida como Palmerworm, Temp.Overboard, Circuit Panda e Radio Panda, está envolvida em atividades criminosas desde 2010. Este grupo chinês de APT (Advanced Persistent Threat) cria e utiliza malware especializado para penetrar redes através de equipamentos da Cisco e de outras grandes marcas como Fortinet, SonicWall e TP-Link.
Os hackers da BlackTech preferem atacar filiais de empresas em cidades menores, onde os sistemas de segurança podem ser menos confiáveis. Depois de obter acesso à rede local de filiais, eles se conectam à rede das organizações-mãe. O grupo tem como alvo o sector governamental, empresas com participação estatal, bem como empresas das áreas da indústria, tecnologia de informação, telecomunicações e electrónica.
As especificidades dos métodos pelos quais a BlackTech obtém acesso inicial aos dispositivos das suas vítimas permanecem desconhecidas. Isso pode variar desde roubo de credenciais de funcionários até vulnerabilidades desconhecidas e extremamente sofisticadas de dia zero. Uma vez infiltrados, os cibercriminosos usam a interface de linha de comando (CLI) do Cisco IOS para substituir o firmware legítimo do roteador por uma versão comprometida.
Tudo começa com o firmware sendo modificado na memória usando o método “hot patching”. Esta etapa é crítica para instalar um bootloader e firmware modificados. Assim que a instalação for concluída, o firmware modificado pode ignorar os mecanismos de segurança do roteador, ativar backdoors, sem deixar rastros nos logs do sistema e ignorar as restrições definidas pelas listas de controle de acesso (ACLs).
Os cibercriminosos usam uma variedade de métodos para ocultar sua presença nas redes das vítimas, incluindo desabilitar o registro em dispositivos comprometidos e usar certificados de assinatura de código roubados para assinar arquivos ROM. Os hackers usam pacotes UDP e TCP especializados para ativar e desativar backdoors SSH em roteadores Cisco em momentos aleatórios, ocultando assim sua atividade dos administradores de sistema.
A Cisco está agravando o problema ao se recusar a oferecer suporte ao seu hardware legado ou a corrigir vulnerabilidades conhecidas em seus roteadores. Por exemplo, a empresa recusa-se regularmente a corrigir vulnerabilidades perigosas como CVE-2022-20923 e CVE-2023-20025 nos seus routers desatualizados, cujo período de suporte expirou há muito tempo. Assim, na primavera de 2023, a Cisco recusou-se a lançar um patch para roteadores destinados ao uso doméstico e pequenas empresas nos quais foi encontrada uma vulnerabilidade perigosa. Isto cria riscos adicionais para os utilizadores e abre oportunidades para os cibercriminosos.
Para identificar e bloquear atividades maliciosas da BlackTech, as empresas e organizações são fortemente encorajadas a manter estratégias ideais de mitigação de riscos. Os profissionais de TI devem bloquear conexões de saída usando o comando de configuração “transport output none” para linhas de teletipo virtual (VTY), monitorar todas as conexões, restringir o acesso e manter logs de eventos detalhados nos logs do sistema.
Jogado no pc Ninguém Quer Morrer é um caso raro em que o anúncio e…
O acelerador híbrido NVIDIA Grace Hopper combina módulos de CPU e GPU, que são conectados…
A Nvidia confirmou o desenvolvimento de uma nova versão da placa de vídeo GeForce RTX…
Nas últimas semanas, as empresas de tecnologia chinesas revelaram tecnologias de IA que podem competir…
Um grupo de astrofísicos japoneses descobriu uma ligação entre a destruição da poeira de hidrocarbonetos…
A Nio realizou um evento do Innovation Day em Xangai, onde apresentou o smartphone Nio…