По словам чиновников в США и Японии, шпионы китайского правительства могут прятаться в ваших маршрутизаторах Cisco и использовать этот доступ для кражи интеллектуальной собственности и других конфиденциальных данных.
В совместном сообщении, опубликованном в среду, Агентство кибербезопасности и безопасности инфраструктуры США, АНБ и ФБР, а также Национальное полицейское агентство Японии (NPA) и его Национальный центр готовности к инцидентам и стратегии кибербезопасности предупредили, что BlackTech, PCR- поддерживаемая бандой кибершпионажа, может модифицировать прошивку маршрутизатора, не будучи обнаруженным, и прыгать по сети для дальнейших махинаций.
«BlackTech продемонстрировала возможности модификации прошивки маршрутизаторов без обнаружения и использования отношений доверия домена маршрутизаторов для перехода от международных дочерних компаний к штаб-квартирам в Японии и США — основных целях», — предупреждается в сообщении.
В отчете особо выделяется оборудование Cisco, но отмечается, что шпионы могут использовать аналогичные методы для установки бэкдоров в другом сетевом оборудовании.
«Cisco известно о совместном консультативном соглашении по кибербезопасности (CSA) от 27 сентября, в котором подробно описываются действия киберпреступников BlackTech по нацеливанию на встроенное ПО маршрутизаторов от нескольких поставщиков», — сообщил представитель Cisco. Регистр.
«Нет никаких признаков того, что какие-либо уязвимости Cisco были использованы, как указано в рекомендациях Cisco по информационной безопасности. Сегодняшнее предупреждение подчеркивает острую необходимость для компаний обновлять, исправлять и безопасно настраивать свои сетевые устройства – важные шаги на пути к поддержанию гигиены безопасности и достижению общей устойчивости сети. .”
Эта конкретная банда, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, существует с 2010 года и нацелена на игроков в правительстве, промышленности, технологиях, средствах массовой информации, электронике, телекоммуникациях и обороне в США и Восточной Азии.
BlackTech использует несколько специальных вредоносных кодов против операционных систем Windows, Linux и FreeBSD, и все вредоносные программы перечислены в американо-японских рекомендациях. А как только злоумышленники заменили прошивку роутеров, наступил сезон сбора данных.
Нам сообщили, что команда компрометирует маршрутизаторы жертв, загружая старую легальную прошивку, модифицированную прошивку со встроенным бэкдором SSH или модифицированный загрузчик. Вот как этот процесс работает, по мнению правительств:
В отчете не говорится, как китайские государственные шпионы изначально получают доступ к устройствам жертв, что может быть столь же обычным явлением, как украденные учетные данные или какая-то «чрезвычайно изощренная» ошибка безопасности, которую невозможно исправить, сказал Том Пейс, генеральный директор компании по прошивке. охранная фирма NetRise.
«Это может быть что-то столь же безобидное, как просто получение доступа к учетным данным с этих устройств и вход в систему», — сказал Пейс, бывший глава отдела кибербезопасности Министерства энергетики США. Регистр. «Но они, возможно, здесь объявили «нет дня», и Cisco или кто-то еще, кто пострадал, изо всех сил пытается выпустить патч для этого».
Кроме того, федеральные органы не дают никаких объяснений по поводу времени совместного предупреждения безопасности. Это примечательно, поскольку, как сказал Пейс, компрометация сетевого оборудования «является самым старым типом компрометации».
«У нас уже давно есть доступ к информации о подобных вещах, — сказал Пейс. — Это не новость».
Есть множество причин, по которым спецслужбы решили подчеркнуть эту конкретную угрозу именно в это время, добавил он. Возможно, агентства имеют представление о реальных крупномасштабных взломах маршрутизаторов Cisco. Или правительства могут просто захотеть повысить осведомленность.
Какой бы ни была причина, «Мне это нравится», — сказал Пейс. «Я думаю, что для них действительно полезно говорить о происходящих вещах. И я думаю, что они, вероятно, осознают, что не могут решить эту проблему самостоятельно».
Хотя он не думает, что агентства так уж заинтересованы в том, чтобы «назвать и опозорить, они, конечно, это сделали», добавил он. «Они определенно сделали это сегодня, вызвав крупнейшего производителя телекоммуникаций на планете Земля». ®
