Китайские хакеры внедряют бэкдоры в маршрутизаторы Cisco - «Новости» » Интернет технологии
sitename
iPhone 17 Pro Max показался на видео из производственного цеха - «Новости сети»
iPhone 17 Pro Max показался на видео из производственного цеха - «Новости сети»
 Microsoft и Cloudflare хотят заново изобрести интернет и оставить Google не у дел - «Новости сети»
Microsoft и Cloudflare хотят заново изобрести интернет и оставить Google не у дел - «Новости сети»
 Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
Cronos: The New Dawn не станет следующей Dead Space или Resident Evil 4 — критики вынесли вердикт новой игре от создателей ремейка Silent Hill 2 - «Новости сети»
 Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
Hollow Knight: Silksong уже исправляет ошибки оригинальной игры — горячо ожидаемая метроидвания получит поддержку ультрашироких мониторов - «Новости сети»
 Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
Windows 11 получит долгожданное автопереключение светлой и тёмной темы — Microsoft представила PowerToys 0.94 - «Новости сети»
 Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
Anthropic: хакеры использовали Claude в масштабной кибероперации - «Новости»
 В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
В Google сообщили, что компания не связана с проблемами в работе Google Meet в РФ - «Новости»
 Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
Госучреждения в Неваде закрылись из-за кибератаки - «Новости»
 В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
В Москве прошла шестая конференция OFFZONE 2025 - «Новости»
 ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
ИБ-сообщество обеспокоено новым пакетом антифрод-мер - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Китайские хакеры внедряют бэкдоры в маршрутизаторы Cisco - «Новости»

✔Китайские хакеры внедряют бэкдоры в маршрутизаторы Cisco - «Новости»

29 сентября 2023 640 Новости / Изображения / Вёрстка / Преимущества стилей / Текст 0

Правоохранительные органы США и Японии предупредили, что китайская APT-группировка BlackTech взламывает периферийные устройства и внедряет в их прошивки кастомные бэкдоры для доступа к корпоративным сетям американских и японских международных компаний.


BlackTech (она же Palmerworm, Circuit Panda и Radio Panda) — это «правительственная» APT-группировка, с 2010 года известная своими кибершпионскими атаками на японские, тайваньские и гонконгские организации. Объектами атак BlackTech обычно становятся промышленный и технологический секторы, СМИ, предприятия, занимающиеся электроникой, телекоммуникациями, а также оборонная промышленность и госорганы.


Совместное уведомление, выпущенное ФБР, АНБ, CISA, а также японскими правоохранителями, гласит, что BlackTech использует кастомную и регулярно обновляемую малварь для создания бэкдоров в сетевых устройствах, которые затем используются для закрепления в целевой сети, получения первоначального доступа к сетям организаций и кражи данных (путем перенаправления трафика на подконтрольные злоумышленниками серверы).


Подчеркивается, что кастомная малварь группы порой подписана с использованием легитимных украденных сертификатов, что дополнительно затрудняет ее обнаружение.


«Получив первоначальный доступ к целевой сети и доступ администратора к периферийным  устройствам, киберпреступники из BlackTech часто модифицируют их прошивку, чтобы скрыть свою активность и закрепиться в сети.


Для расширения своего присутствия в сети организации злоумышленники из BlackTech атакуют маршрутизаторы  других филиалов (как правило, это устройства, используемые в удаленных филиалах для подключения к головному офису компании) и злоупотребляют доверием между устройствами в целевой корпоративной сети. Затем атакующие используют скомпрометированные маршрутизаторы филиалов в качестве части своей инфраструктуры для проксирования трафика, смешиваются с трафиком корпоративной сети и переключаются на других жертв в той же корпоративной сети», — сообщают специалисты.


Модификация прошивок позволяет хакерам маскировать изменения в конфигурации устройств и историю выполненных команд. Кроме того, злоумышленники могут вообще отключать вход на скомпрометированные устройства, пока заняты своими операциями.


К примеру, на маршрутизаторах Cisco хакеры включают и отключают SSH-бэкдор с помощью специальных TCP- или UDP-пакетов, передаваемых на устройство. Это позволяет им избегать обнаружения и активировать бэкдор только в случае необходимости.


Кроме того, BlackTech могут внедряться в память устройств Cisco, чтобы обойти функции проверки подписи в Cisco ROM Monitor. Это позволяет им загружать модифицированные прошивки с предустановленными бэкдорами, которые дают доступ к устройству без логина.


Также было замечено, что во время взлома маршрутизаторов Cisco злоумышленники модифицируют EEM-политики, используемые для автоматизации задач, и удаляют определенные строки команд, чтобы блокировать их выполнение и затруднить последующий анализ атаки. С теми же целями злоумышленники могут вовсе отключать ведение журналов.


Нужно отметить, что создание собственной кастомной малвари не является чем-то новым для BlackTech. Еще в 2021 году исследователи из Palo Alto Networks Unit 42 и NTT Security предупреждали об этой тактике хак-группы. Кроме того, в еще более старом отчете Trend Micro упоминалась тактика компрометации уязвимых маршрутизаторов для использования их в качестве управляющих серверов.


После публикации этого предупреждения правоохранителей представители компании Cisco выпустили официальное заявление, в котором подчеркнули, что злоумышленники компрометируют маршрутизаторы уже после получения административных учетных данных (откуда хакеры их берут, при этом не уточняется), и нет никаких признаков того, что они эксплуатируют некие уязвимости.


Также в Cisco также заявили, что возможность внедрения вредоносных прошивок есть только в старых продуктах компании, а новые версии обладают более широкими защитными возможностями и предотвращают использование таких прошивок.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Правоохранительные органы США и Японии предупредили, что китайская APT-группировка BlackTech взламывает периферийные устройства и внедряет в их прошивки кастомные бэкдоры для доступа к корпоративным сетям американских и японских международных компаний. BlackTech (она же Palmerworm, Circuit Panda и Radio Panda) — это «правительственная» APT-группировка, с 2010 года известная своими кибершпионскими атаками на японские, тайваньские и гонконгские организации. Объектами атак BlackTech обычно становятся промышленный и технологический секторы, СМИ, предприятия, занимающиеся электроникой, телекоммуникациями, а также оборонная промышленность и госорганы. Совместное уведомление, выпущенное ФБР, АНБ, CISA, а также японскими правоохранителями, гласит, что BlackTech использует кастомную и регулярно обновляемую малварь для создания бэкдоров в сетевых устройствах, которые затем используются для закрепления в целевой сети, получения первоначального доступа к сетям организаций и кражи данных (путем перенаправления трафика на подконтрольные злоумышленниками серверы). Подчеркивается, что кастомная малварь группы порой подписана с использованием легитимных украденных сертификатов, что дополнительно затрудняет ее обнаружение. «Получив первоначальный доступ к целевой сети и доступ администратора к периферийным устройствам, киберпреступники из BlackTech часто модифицируют их прошивку, чтобы скрыть свою активность и закрепиться в сети. Для расширения своего присутствия в сети организации злоумышленники из BlackTech атакуют маршрутизаторы других филиалов (как правило, это устройства, используемые в удаленных филиалах для подключения к головному офису компании) и злоупотребляют доверием между устройствами в целевой корпоративной сети. Затем атакующие используют скомпрометированные маршрутизаторы филиалов в качестве части своей инфраструктуры для проксирования трафика, смешиваются с трафиком корпоративной сети и переключаются на других жертв в той же корпоративной сети», — сообщают специалисты. Модификация прошивок позволяет хакерам маскировать изменения в конфигурации устройств и историю выполненных команд. Кроме того, злоумышленники могут вообще отключать вход на скомпрометированные устройства, пока заняты своими операциями. К примеру, на маршрутизаторах Cisco хакеры включают и отключают SSH-бэкдор с помощью специальных TCP- или UDP-пакетов, передаваемых на устройство. Это позволяет им избегать обнаружения и активировать бэкдор только в случае необходимости. Кроме того, BlackTech могут внедряться в память устройств Cisco, чтобы обойти функции проверки подписи в Cisco ROM Monitor. Это позволяет им загружать модифицированные прошивки с предустановленными бэкдорами, которые дают доступ к устройству без логина. Также было замечено, что во время взлома маршрутизаторов Cisco злоумышленники модифицируют EEM-политики, используемые для автоматизации задач, и удаляют определенные строки команд, чтобы блокировать их выполнение и затруднить последующий анализ атаки. С теми же целями злоумышленники могут вовсе отключать ведение журналов. Нужно отметить, что создание собственной кастомной малвари не является чем-то новым для BlackTech. Еще в 2021 году исследователи из Palo Alto Networks Unit 42 и NTT Security предупреждали об этой тактике хак-группы. Кроме того, в еще более старом отчете Trend Micro упоминалась тактика компрометации уязвимых маршрутизаторов для использования их в качестве управляющих серверов. После публикации этого предупреждения правоохранителей представители компании Cisco выпустили официальное заявление, в котором подчеркнули, что злоумышленники компрометируют маршрутизаторы уже после получения административных учетных данных (откуда хакеры их берут, при этом не уточняется), и нет никаких признаков того, что они эксплуатируют некие уязвимости. Также в Cisco также заявили, что возможность внедрения вредоносных прошивок есть только в старых продуктах компании, а новые версии обладают более широкими защитными возможностями и предотвращают использование таких прошивок.
CSS
запостил(а)
Walter
Вернуться назад

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: