Agências de aplicação da lei e cibersegurança dos EUA e Japão alertam sobre hackers chineses "BlackTech", que violam dispositivos de rede para instalar backdoors personalizadas para acesso a redes corporativas.
O relatório conjunto vem do FBI, NSA, CISA e das agências japonesas NISC (cibersegurança) e NPA (polícia), que explicam que o grupo de hackers patrocinado pelo estado está violando dispositivos de rede em subsidiárias internacionais para ter acesso às redes das sedes corporativas.
BlackTech (também conhecido como Palmerworm, Circuit Panda e Radio Panda) é um grupo APT (ameaça persistente avançada) patrocinado pelo estado chinês, conhecido por conduzir ataques de espionagem cibernética em entidades japonesas, taiwanesas e de Hong Kong desde pelo menos 2010.
Os setores alvo da BlackTech incluem governo, indústria, tecnologia, mídia, eletrônicos, telecomunicações e a indústria de defesa.
O aviso do FBI alerta que os hackers da BlackTech usam malwares personalizados e regularmente atualizados para instalar backdoors nos dispositivos de rede, que são utilizados para persistência, acesso inicial a redes e para roubar dados, redirecionando o tráfego para servidores controlados pelos atacantes.
O comunicado adverte que o malware personalizado às vezes é assinado usando certificados de assinatura de código roubados, tornando mais difícil a detecção pelo software de segurança.
Ao se aproveitarem de credenciais administrativas roubadas, os atacantes comprometem uma ampla gama de marcas, modelos e versões de roteadores, estabelecem persistência e se movem lateralmente na rede.
Como explicado pelo comunicado conjunto de cibersegurança:
O firmware modificado permite que os atores de ameaças escondam alterações de configuração e o histórico de comandos executados.
Ele também permite que desativem o registro em um dispositivo comprometido enquanto realizam operações maliciosas ativamente.
Para roteadores Cisco em particular, os pesquisadores observaram os atacantes habilitando e desabilitando um backdoor SSH usando pacotes TCP ou UDP especialmente criados que são enviados aos dispositivos.
Esse método permite que os atacantes evitem a detecção e só ativem o backdoor quando necessário.
Os atores de ameaças também foram vistos corrigindo a memória de dispositivos Cisco para contornar as funções de validação de assinatura do Monitor ROM da Cisco. Isso permite carregar firmware modificado que vem pré-instalado com backdoors que permitem acesso não registrado ao dispositivo.
Em casos de violação de roteadores Cisco, os hackers também modificam as políticas EEM usadas para automação de tarefas, removendo determinadas strings de comandos legítimos para bloquear sua execução e impedir a análise forense.
Criar malware personalizado não é uma novidade para o grupo APT BlackTech, como mostram dois relatórios de 2021 da NTT e Unit 42, que destacam o uso deste método pelo ator de ameaças.
Um relatório mais antigo da Trend Micro mencionou especificamente a tática de comprometer roteadores vulneráveis para usá-los como servidores C2.
O comunicado aconselha os administradores de sistemas a monitorar downloads não autorizados de imagens de bootloader e firmware e reinicializações de dispositivos incomuns que podem fazer parte do carregamento de firmware modificado em roteadores.
O tráfego SSH observado no roteador também deve ser tratado com alta suspeita.
São recomendadas as seguintes práticas de mitigação:
Use o comando "transport output none" para evitar conexões externas indesejadas.
Supervisione o tráfego de entrada/saída em dispositivos, especialmente acessos não autorizados, e segregue sistemas administrativos com VLANs.
Permita apenas endereços IP específicos para administradores de rede e acompanhe as tentativas de login.
Priorize a atualização de equipamentos desatualizados para dispositivos com inicialização segura avançada.
Ao suspeitar de uma violação, aja prontamente para alterar todas as senhas e chaves.
Examine os registros em busca de anomalias, como reinicializações inesperadas ou alterações de configuração.
Utilize a metodologia Network Device Integrity (NDI) para detectar alterações não autorizadas.
Compare regularmente registros de inicialização e firmware com versões confiáveis.
A Cisco também publicou um comunicado de segurança sobre o assunto, destacando que não há indícios de que a BlackTech explora uma vulnerabilidade em seus produtos ou usa um certificado roubado para assinar seu malware.
A empresa ainda observa que o método de ataque que envolve o rebaixamento do firmware para contornar as medidas de segurança se aplica apenas a produtos legados.
A segmentação de dispositivos de rede aumentou no último ano, com atores de ameaças alinhados com os chineses também visando dispositivos de rede da Fortinet, TP-Link e SonicWall com malwares personalizados.
Os EUA, Reino Unido e Cisco alertaram em abril sobre ataques a dispositivos Cisco iOS pelo grupo de hackers patrocinado pelo estado russo APT28 (Fancy Bear, STRONTIUM), que implantou malware personalizado para roubar dados e mover-se para dispositivos internos.
Como os dispositivos de rede de borda normalmente não suportam soluções de segurança EDR (Endpoint Detection and Response), eles são alvos privilegiados para atores de ameaças usarem para roubo de dados e acesso inicial a uma rede.
"Existe um tema recorrente de foco contínuo na espionagem cibernética de origem chinesa em aplicativos de rede, dispositivos IOT, etc. que não suportam soluções EDR", disse Charles Carmakal, CTO da Mandiant, ao BleepingComputer em maio.
Portanto, os administradores de rede devem instalar todos os patches de segurança disponíveis nos dispositivos de borda assim que estiverem disponíveis e não expor publicamente os consoles de gerenciamento.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...