0
0
Um antigo agente de ameaças ligado ao Estado chinês tem manipulado discretamente os roteadores Cisco para violar organizações multinacionais nos EUA e no Japão.
“BlackTech” (também conhecido como Palmerworm, Temp.Overboard, Circuit Panda e Radio Panda) tem substituído o firmware do dispositivo por sua própria versão maliciosa, a fim de estabelecer persistência e migrar de subsidiárias internacionais menores para sedes de organizações afetadas. Até agora, essas organizações abrangem os setores governamental, industrial, tecnológico, de mídia, eletrônico e telecomunicações, e incluem “entidades que apoiam os militares dos EUA e do Japão”, de acordo com um novo comunicado conjunto de segurança cibernética da Agência de Segurança Nacional (NSA ) . , FBI e Agência de Segurança Cibernética e de Infraestrutura (CISA), bem como a polícia nacional japonesa e autoridades de segurança cibernética.
O comunicado não detalha nenhum CVE específico que afete os roteadores Cisco. Em vez disso, explica, “este TTP não se limita apenas aos roteadores Cisco, e técnicas semelhantes poderiam ser usadas para habilitar backdoors em outros equipamentos de rede”.
A Cisco ainda não respondeu ao pedido de comentários da Dark Reading.
De acordo com Tom Pace, ex-chefe de cibersegurança do Departamento de Energia e agora CEO da NetRise, isso fala de um problema mais endêmico na segurança de borda. “Se conseguirmos uma imagem de firmware da Cisco, Juniper, Huawei, Arista – não importa quem seja”, diz ele. “Os mesmos problemas persistem em todos os fabricantes de dispositivos e em todos os setores verticais.”
Como a BlackTech viola as redes
Os roteadores Cisco têm sido sujeitos a comprometimento e roubo de IP desde que a empresa ajudou a China a construir seu aparato nacional de censura à Internet – o chamado “Grande Firewall” – na virada do século. A BlackTech, existente desde 2010, levou a tradição um passo adiante.
O grupo possui 12 famílias diferentes de malware personalizado para penetrar e estabelecer uma posição dentro dos sistemas operacionais Windows, Linux e FreeBSD. Eles recebem um ar de legitimidade por meio de certificados de assinatura de código e são constantemente atualizados para evitar a detecção de antivírus.
Uma vez firmemente implantada em redes-alvo, a BlackTech usa ferramentas do estilo Living-off-the-land (LotL) para evitar a detecção de endpoints, incluindo shells NetCat, o Secure Shell Protocol (SSH) e o Remote Desktop Protocol (RDP).
O objetivo final da BlackTech é escalar dentro da rede alvo até obter privilégios de administrador sobre roteadores de rede vulneráveis. É aqui que se distingue de outros atores de ameaças.
Como a BlackTech brinca com roteadores
Especificamente, a BlackTech visa roteadores em filiais menores e remotas de organizações maiores, onde a segurança pode ser um pouco mais frouxa, usando sua conexão com a rede primária de TI de uma organização para se misturar com o tráfego de rede mais amplo e potencialmente direcionar para outras vítimas dentro da organização.
Para consolidar o controle sobre os roteadores e ocultar suas diversas atividades maliciosas, o grupo realiza um ataque de downgrade.
Primeiro, instala uma versão antiga do firmware do roteador. “A Cisco permite que qualquer pessoa com certos privilégios no dispositivo faça downgrade da imagem e do firmware do sistema operacional”, explicou Alex Matrosov, CEO e chefe de pesquisa da Binarly, em comunicado fornecido à Dark Reading.
“Para ganhar persistência neste caso, um invasor precisa de uma vulnerabilidade de desvio de autenticação para modificar a imagem do firmware e entregar código malicioso no dispositivo”, acrescentou. O comunicado conjunto não aludiu a nenhuma vulnerabilidade específica, embora Matrosov apontasse CVE-2023-20082 , um bug “Médio” com pontuação CVSS de 6,8 em switches Cisco Catalyst como um exemplo comparável.
A BlackTech então “aplica patches” no firmware antigo na memória, modificando-o sem a necessidade de uma reinicialização e desligamento e permitindo a instalação de um bootloader e seu próprio firmware malicioso com um backdoor SSH integrado.
Pace oferece uma analogia, para aqueles que ainda não estão suficientemente impressionados. “Imagine se você estivesse em um computador e um agente de ameaça substituísse todo o seu sistema operacional Windows e ninguém soubesse a diferença. Bem, isso seria uma loucura, não seria?”
O que fazer
O comunicado oferece certas etapas que as empresas podem tomar para mitigar os TTPs da BlackTech, como monitorar conexões de entrada e saída com dispositivos de rede, revisar logs e quaisquer alterações no firmware e higiene diligente de senhas. Mas para Pace, estes são apenas band-aids para uma questão mais profunda de segurança de ponta.
“Se você olhar para laptops, desktops, servidores: temos uma série de soluções de visibilidade – tecnologias que podem responder perguntas sobre o que está acontecendo nesses dispositivos de uma forma muito clara. , porque não há usuários neles. E, portanto, não oferecemos o mesmo nível de monitoramento nesses dispositivos”, explica ele.
A menos que os fabricantes de dispositivos melhorem significativamente a sua segurança, ou que os clientes invistam significativamente nesta área tradicionalmente negligenciada, pensa ele, este tipo de história irá repetir-se.
“Este é um problema que dura uma década. No mínimo. Se não, provavelmente 15, 20 anos”, prevê ele.
FONTE: DARKREADING