Il rapporto congiunto proviene da FBI, NSA, CISA e dai giapponesi NISC (sicurezza informatica) e NPA (polizia), che spiegano che il gruppo di hacker sponsorizzato dallo stato cinese sta violando i dispositivi di rete nelle filiali internazionali per passare alle reti delle sedi aziendali.
BlackTech (noto anche come Palmerworm, Circuit Panda e Radio Panda) è un gruppo APT cinese sponsorizzato dallo stato (minaccia avanzata persistente) noto per aver condotto attacchi di spionaggio informatico contro entità giapponesi, taiwanesi e con sede a Hong Kong almeno dal 2010.
I settori presi di mira da BlackTech includono governo, industria, tecnologia, media, elettronica, telecomunicazioni e industria della difesa.
Indice degli argomenti
Malware personalizzato sui dispositivi di rete
L‘avviso dell’FBI avverte che gli hacker BlackTech utilizzano malware personalizzato e regolarmente aggiornato per creare backdoor sui dispositivi di rete, che vengono utilizzati per l’accesso iniziale alle reti e per rubare dati reindirizzando il traffico verso server controllati dagli aggressori.
L’avviso avverte che il malware personalizzato a volte viene firmato utilizzando certificati di firma del codice rubati, rendendone più difficile il rilevamento da parte del software di sicurezza.
Sfruttando le credenziali amministrative rubate, gli aggressori compromettono un’ampia gamma di marche, modelli e versioni di router, stabiliscono la connessione permanente e si spostano lateralmente sulla rete.
Come spiegato nella consulenza congiunta sulla sicurezza informatica dell’FBI:
“In particolare, dopo aver ottenuto un punto d’appoggio iniziale in una rete di destinazione e ottenuto l’accesso come amministratore ai dispositivi periferici della rete, gli attori informatici BlackTech spesso modificano il firmware per nascondere la loro attività attraverso i dispositivi periferici per mantenere ulteriormente la persistenza nella rete. Per estendere il loro punto d’appoggio su un’organizzazione, gli attori BlackTech prendono di mira i router delle filiali – in genere apparecchi più piccoli utilizzati nelle filiali remote per connettersi a una sede aziendale – e poi abusano della relazione di fiducia dei router delle filiali all’interno della rete aziendale presa di mira. Gli attori BlackTech, quindi, utilizzano il router della filiale compromessa come parte della loro infrastruttura per inoltrare il traffico, integrarsi con quello della rete aziendale e indirizzarsi verso altre vittime sulla stessa rete aziendale”.
Il firmware modificato consente agli autori delle minacce di nascondere le modifiche alla configurazione e la cronologia dei comandi eseguiti. Consente inoltre loro di disattivare l’accesso su un dispositivo compromesso mentre sono attivamente impegnati in operazioni dannose.
Per i router Cisco, in particolare, i ricercatori hanno osservato gli aggressori abilitare e disabilitare una backdoor SSH utilizzando pacchetti TCP o UDP appositamente predisposti che vengono inviati ai dispositivi. Questo metodo consente agli aggressori di eludere il rilevamento e di abilitare la backdoor solo quando necessario.
È stato anche osservato che gli autori delle minacce applicavano patch alla memoria dei dispositivi Cisco per aggirare le funzioni di convalida della firma di Cisco ROM Monitor. Ciò consente agli hacker di caricare firmware modificato preinstallato con backdoor che consentono l’accesso non registrato al dispositivo.
In caso di violazione dei router Cisco, gli hacker modificano anche le policy EEM utilizzate per l’automazione delle attività, rimuovendo determinate stringhe dai comandi legittimi per bloccarne l’esecuzione e ostacolare l’analisi forense.
La creazione di malware personalizzato non è una novità per il gruppo BlackTech APT; due rapporti del 2021 di NTT e Unit 42 hanno già evidenziato l’uso di questa tattica da parte dell’autore della minaccia.
Un vecchio rapporto di Trend Micro menzionava specificamente la tattica di compromettere i router vulnerabili per utilizzarli come server C2.
Raccomandazioni per la difesa
L’avviso consiglia agli amministratori di sistema di monitorare i download non autorizzati delle immagini del bootloader e del firmware e i riavvii insoliti del dispositivo che potrebbero essere parte del caricamento del firmware modificato sui router.
Anche il traffico SSH osservato sul router dovrebbe essere trattato con il massimo sospetto.
L’FBI consiglia le seguenti pratiche di mitigazione:
- Utilizzare il comando “transport output none” per impedire connessioni esterne indesiderate.
- Supervisionare il traffico in entrata/uscita sui dispositivi, in particolare gli accessi non autorizzati e separa i sistemi amministrativi con VLAN.
- Consentire solo indirizzi IP specifici per gli amministratori di rete e monitora i tentativi di accesso.
- Passare a dispositivi con avvio sicuro avanzato e dai priorità all’aggiornamento delle apparecchiature obsolete.
- Agire tempestivamente per modificare tutte le password e le chiavi quando si sospetta una violazione.
- Esaminare i log per rilevare anomalie come riavvii imprevisti o modifiche alla configurazione.
- Utilizzare la metodologia Network Device Integrity (NDI) per rilevare alterazioni non autorizzate.
- Confrontare regolarmente i record di avvio e il firmware con le versioni attendibili.
L’avviso di sicurezza di Cisco
Cisco ha anche pubblicato un avviso di sicurezza sull’argomento, sottolineando che non vi è alcuna indicazione che BlackTech sfrutti una vulnerabilità nei suoi prodotti o un certificato rubato per firmare il suo malware.
Inoltre, Cisco rileva che il metodo di attacco che prevede il downgrade del firmware per aggirare le misure di sicurezza si applica solo ai prodotti legacy.
La minaccia crescente delle cyber gang filocinesi
Il targeting dei dispositivi di rete ha registrato un aumento nell’ultimo anno, con gli autori di minacce allineati alla Cina che hanno preso di mira anche i dispositivi di rete Fortinet, TP-Link e SonicWall con malware personalizzato.
Stati Uniti, Regno Unito e Cisco hanno avvertito ad aprile di attacchi ai dispositivi Cisco iOS da parte del gruppo di hacking russo sponsorizzato dallo stato APT28 (Fancy Bear, STRONTIUM), che ha implementato malware personalizzato per rubare dati e spostarsi su dispositivi interni.
Poiché i dispositivi di rete edge non supportano comunemente le soluzioni di sicurezza EDR (Endpoint Detection and Response), sono gli obiettivi principali che gli autori delle minacce utilizzano per il furto di dati e l’accesso iniziale a una rete.
“C’è un tema ricorrente di continua attenzione allo spionaggio informatico legato alla Cina su apparecchiature di rete, dispositivi IOT, ecc. che non supportano soluzioni EDR”, ha detto il CTO di Mandiant Charles Carmakal.
Pertanto, gli amministratori di rete devono installare tutte le patch di sicurezza disponibili sui dispositivi periferici non appena diventano disponibili e non esporre pubblicamente le console di gestione.
