El grupo de piratería BlackTech de China aprovechó enrutadores para atacar a empresas estadounidenses y japonesas

Las agencias de ciberseguridad de Japón y Estados Unidos han advertido sobre ataques organizados por un grupo de hackers de China respaldado por el Estado para manipular sigilosamente los enrutadores de las sucursales y utilizarlos como puntos de partida para acceder a las redes de varias empresas en los dos países.

Los ataques se han relacionado con un actor cibernético malicioso denominado tecnología negra por la Agencia de Seguridad Nacional de EE. UU. (NSA), la Oficina Federal de Investigaciones (FBI), la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Agencia de Policía Nacional de Japón (NPA) y el Centro Nacional de Preparación para Incidentes y Estrategia de Ciberseguridad de Japón (NISC) .

“BlackTech ha demostrado capacidades para modificar el firmware de los enrutadores sin ser detectado y explotar las relaciones de dominio-confianza de los enrutadores para pasar de las subsidiarias internacionales a las oficinas centrales en Japón y Estados Unidos, que son los objetivos principales”, dijeron las agencias. dicho en una alerta conjunta.

Los sectores objetivo abarcan los sectores gubernamental, industrial, tecnológico, de medios, electrónico y de telecomunicaciones, así como entidades que apoyan a los ejércitos de Estados Unidos y Japón.

tecnología negratambién llamado con los nombres Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard, tiene un historial de operaciones contra objetivos en el este de Asia, específicamente Taiwán, Japón y Hong Kong al menos desde 2007.

Trend Micro, en diciembre de 2015, descrito el actor de amenazas está bien financiado y organizado, atacando industrias verticales clave (a saber, gobierno, electrónica de consumo, informática, atención médica y finanzas) ubicadas en la región.

Desde entonces se ha atribuido a una amplia gama de puertas traseras como BendyBearBIFROSE (también conocido como Bifrost), Consock, KIVARS, ALEGAR, TSCookie (también conocido como FakeDead), XBOW y Oso de agua (también conocido como DBGPRINT). Campañas SÚPLICA documentado por la firma de ciberseguridad en junio de 2017 han supuesto la explotación de enrutadores vulnerables para su uso como servidores de comando y control (C&C).

“SÚPLICAN actores “Utilice una herramienta de escaneo de enrutadores para buscar enrutadores vulnerables, después de lo cual los atacantes habilitarán la función VPN del enrutador y luego registrarán una máquina como servidor virtual”, señaló Trend Micro en ese momento. “Este servidor virtual se utilizará como servidor C&C o un servidor HTTP que entrega malware PLEAD a sus objetivos”.

Las cadenas de ataque típicas orquestadas por el actor de amenazas implican el envío de correos electrónicos de phishing con archivos adjuntos cargados de puerta trasera para implementar malware diseñado para recopilar datos confidenciales, incluido un descargador llamado banderapro y puerta trasera conocida como BTSDoor, PwC revelado en octubre de 2021, señalando que “la explotación del enrutador es una parte fundamental de los TTP para BlackTech”.

A principios de julio, Mandiant, propiedad de Google resaltado Los grupos de amenazas chinos “apuntan a enrutadores y otros métodos para transmitir y disfrazar el tráfico de atacantes tanto dentro como fuera de las redes de las víctimas”.

La compañía de inteligencia de amenazas vinculó además a BlackTech con un malware llamado EYEWELL que se entrega principalmente al gobierno y objetivos tecnológicos de Taiwán y que “contiene una capacidad de proxy pasivo que puede usarse para transmitir tráfico desde otros sistemas infectados con EYEWELL dentro de un entorno de víctima”.

El amplio conjunto de herramientas apunta a un equipo de hackers altamente ingenioso que se jacta de contar con un conjunto de herramientas de malware en constante evolución y esfuerzos de explotación para eludir la detección y permanecer fuera del radar durante largos períodos aprovechando certificados de firma de código robados y otras técnicas de subsistencia de la tierra (LotL).

En su último aviso, CISA et al criticaron al actor de amenazas por poseer capacidades para desarrollar malware personalizado y mecanismos de persistencia personalizados para infiltrarse en dispositivos periféricos, a menudo modificando el firmware para mantener la persistencia, proxy del tráfico, mezclándose con el tráfico de la red corporativa y girando hacia otras víctimas en la misma red.

Dicho de otra manera, las modificaciones fraudulentas al firmware incorporan una puerta trasera SSH incorporada que permite a los operadores mantener un acceso encubierto al enrutador mediante el uso de paquetes magicos para activar o desactivar la función.

“Los actores de BlackTech han comprometido varios enrutadores de Cisco utilizando variaciones de una puerta trasera de firmware personalizada”, dijeron las agencias. “La funcionalidad de puerta trasera se habilita y deshabilita a través de paquetes TCP o UDP especialmente diseñados. Este TTP no se limita únicamente a los enrutadores Cisco, y se podrían usar técnicas similares para habilitar puertas traseras en otros equipos de red”.

Cisco, en su propio boletín, dijo que el vector de acceso inicial más frecuente en estos ataques tiene que ver con credenciales administrativas débiles o robadas y que no hay evidencia de explotación activa de fallas de seguridad en su software.

“Ciertos cambios de configuración, como deshabilitar el registro y descargar firmware, requieren credenciales administrativas”, dijo la empresa. dicho. “Los atacantes utilizaron credenciales comprometidas para realizar cambios de software y configuración a nivel administrativo”.

Como mitigación, se recomienda que los defensores de la red monitoreen los dispositivos de red en busca de descargas no autorizadas de cargadores de arranque e imágenes de firmware y reinicios y estén atentos al tráfico anómalo destinado al enrutador, incluido SSH.