Les agences de cybersécurité du Japon et des États-Unis ont mis en garde contre les attaques organisées par un groupe de piratage chinois soutenu par l’État pour altérer furtivement les routeurs des succursales et les utiliser comme points de départ pour accéder aux réseaux de diverses entreprises dans les deux pays.
Les attaques ont été liées à un cyber-acteur malveillant surnommé Technologie noire par la National Security Agency (NSA) des États-Unis, le Federal Bureau of Investigation (FBI), la Cybersecurity and Infrastructure Security Agency (CISA), la Japan National Police Agency (NPA) et le Japan National Center of Incident Readiness and Strategy for Cybersecurity (NISC) .
« BlackTech a démontré ses capacités à modifier le micrologiciel des routeurs sans détection et à exploiter les relations de confiance de domaine des routeurs pour passer des filiales internationales aux sièges sociaux au Japon et aux États-Unis, qui sont les principales cibles », ont déclaré les agences. dit dans une alerte commune.
Les secteurs ciblés comprennent les secteurs gouvernementaux, industriels, technologiques, des médias, de l’électronique et des télécommunications, ainsi que les entités qui soutiennent les armées des États-Unis et du Japon.
Technologie noireégalement appelé sous les noms de Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn et Temp.Overboard, a l’habitude d’opérer contre des cibles en Asie de l’Est, en particulier à Taiwan, au Japon et à Hong Kong, au moins depuis 2007.
Trend Micro, en décembre 2015, décrit l’acteur menaçant est bien financé et organisé, frappant des secteurs industriels clés – à savoir le gouvernement, l’électronique grand public, l’informatique, la santé et la finance – situés dans la région.
Depuis, cela a été attribué à un large éventail de portes dérobées telles que BendyOursBIFROSE (alias Bifrost), Consock, KIVARS, PLAIDER, TSCookie (alias FakeDead), XBOW et Ours d’eau (alias IMPRIMER DBG). Campagnes PLEAD documenté par la société de cybersécurité en juin 2017 ont entraîné l’exploitation de routeurs vulnérables pour les utiliser comme serveurs de commande et de contrôle (C&C).
« Acteurs PLEAD « Utilisez un outil d’analyse de routeur pour rechercher les routeurs vulnérables, après quoi les attaquants activeront la fonction VPN du routeur, puis enregistreront une machine en tant que serveur virtuel », notait Trend Micro à l’époque. « Ce serveur virtuel sera utilisé soit comme serveur C&C, soit comme serveur C&C. un serveur HTTP qui transmet le malware PLEAD à ses cibles. »
Les chaînes d’attaque typiques orchestrées par l’acteur malveillant impliquent l’envoi d’e-mails de spear phishing avec des pièces jointes chargées de portes dérobées pour déployer des logiciels malveillants conçus pour récolter des données sensibles, y compris un téléchargeur appelé Flagpro et porte dérobée connue sous le nom de BTSDoor, PwC divulgué en octobre 2021, notant que « l’exploitation des routeurs est un élément essentiel des TTP pour BlackTech ».
Plus tôt en juillet, Mandiant, propriété de Google Souligné Les groupes menaçants chinois « ciblent les routeurs et d’autres méthodes pour relayer et dissimuler le trafic des attaquants à la fois à l’extérieur et à l’intérieur des réseaux des victimes ».
La société de renseignement sur les menaces a en outre lié BlackTech à un malware nommé EYEWELL qui est principalement destiné au gouvernement taïwanais et à des cibles technologiques et qui « contient une capacité de proxy passif qui peut être utilisée pour relayer le trafic provenant d’autres systèmes infectés par EYEWELL dans un environnement de victime ».
Le vaste ensemble d’outils indique une équipe de piratage très ingénieuse qui se vante d’un ensemble d’outils de logiciels malveillants en constante évolution et d’efforts d’exploitation pour contourner la détection et rester sous le radar pendant de longues périodes en profitant de certificats de signature de code volés et d’autres techniques de vie hors de la terre (LotL).
Combattez l’IA avec l’IA – Combattez les cybermenaces avec des outils d’IA de nouvelle génération
Prêt à relever les nouveaux défis de cybersécurité basés sur l’IA ? Rejoignez notre webinaire perspicace avec Zscaler pour répondre à la menace croissante de l’IA générative dans la cybersécurité.
Dans son dernier avis, CISA et autres ont critiqué l’acteur malveillant pour sa capacité à développer des logiciels malveillants personnalisés et des mécanismes de persistance sur mesure pour infiltrer les appareils de périphérie, modifiant souvent le micrologiciel pour maintenir la persistance, proxy le trafic, se fondant dans le trafic du réseau d’entreprise et pivotant vers d’autres victimes sur le même réseau.
En d’autres termes, les modifications malveillantes apportées au micrologiciel intègrent une porte dérobée SSH intégrée qui permet aux opérateurs de maintenir un accès secret au routeur en utilisant paquets magiques pour activer ou désactiver la fonction.
« Les acteurs BlackTech ont compromis plusieurs routeurs Cisco en utilisant des variantes d’une porte dérobée de micrologiciel personnalisé », ont indiqué les agences. « La fonctionnalité de porte dérobée est activée et désactivée via des paquets TCP ou UDP spécialement conçus. Ce TTP ne se limite pas uniquement aux routeurs Cisco, et des techniques similaires pourraient être utilisées pour activer des portes dérobées dans d’autres équipements réseau. »
Cisco, dans son propre bulletin, a déclaré que le vecteur d’accès initial le plus répandu dans ces attaques concerne les informations d’identification administratives volées ou faibles et qu’il n’y a aucune preuve d’exploitation active de failles de sécurité dans son logiciel.
« Certaines modifications de configuration, telles que la désactivation de la journalisation et le téléchargement du micrologiciel, nécessitent des informations d’identification administratives », explique la société. dit. « Les attaquants ont utilisé des informations d’identification compromises pour effectuer des modifications de configuration et de logiciel au niveau administratif. »
À titre d’atténuation, il est recommandé aux défenseurs du réseau de surveiller les périphériques réseau pour détecter les téléchargements non autorisés de chargeurs de démarrage et d’images de micrologiciels et de redémarrages, et d’être à l’affût du trafic anormal destiné au routeur, y compris SSH.