CISA 表示,BlackTech 透過使用各種工具和技術來修改甚至替換設備的韌體,從而瞄準了思科和其他路由器製造商
美國和日本的情報、執法和網路安全機構近日共同發出警告,指出一個來自中國、代號為BlackTech,也被稱為Palmerworm、Temp.Overboard、Circuit Panda和Radio Panda的進階持續性威脅組織(APT),曾經在思科(Cisco)路由器韌體中植入後門,以侵入跨國公司的網路系統。這項警告呼籲企業和機構加強網路安全,特別是在使用思科路由器等類似設備時,需謹慎保護其網路系統免受攻擊。
BlackTech是一個自2010年起就相當活躍的中國APT組織,以其在亞洲所進行的網路間諜活動而聞名,他們的目標包括國防、政府、電子、電信、技術、媒體和電信等多個部門,主要針對香港、日本和台灣進行攻擊。
此次的攻擊手法為修改思科路由器的韌體,使其在保持潛伏的狀態下,從海外子公司侵入日本和美國的總部。他們利用已建立的受害者與其他實體之間的可信任網路關係,逐步增強其在目標網路中的訪問權。一旦獲得初始進入點和對網路邊緣設備的管理訪問權,他們通常會進一步修改以隱藏其活動,確保在受害者的環境中能夠持續潛伏。
BlackTech的目標通常是分支路由器,這些路由器用於企業總部與外部辦事處的網路連接,他們使用客製的韌體後門,通過發送特別的TCP或UDP封包來啟用或禁用後門,這項入侵技術也會影響其他的網路設備,並不僅僅限於思科路由器。
為了入侵路由器,並在受害者的網路中進行移動,攻擊者使用遠程桌面協議(RDP),禁用受感染路由器上的記錄,以防止受害者透過路由器紀錄發現端倪。
BlackTech匯使用多個客製化的惡意軟體來針對不同的操作系統,包括Windows、Linux和FreeBSD。這些客製化的惡意軟體的名稱包括BendyBear、Bifrose、BTSDoor、FakeDead、FlagPro、FrontShell、IconDown、PLEAD、SpiderPig、SpiderSpring、SpiderStack和WaterBear。這些入侵工具不斷透過更新換版來逃避安全軟體的檢測,甚至使用竊取的程式碼簽章憑證來掩蓋。
思科對外宣稱以下數點聲明,並保證BlackTech並未成功利用其產品中的任何漏洞:
這些攻擊中最普遍的初始訪問途徑涉及被竊取或安全性不足的管理憑證。如報告中所述,某些配置更改,例如禁用記錄和下載韌體是需要透過管理憑證進行。
- 沒有跡象表明思科的設備有任何漏洞被人利用。攻擊者是使用被竊取的憑證來執行管理級別的配置和韌體更改。
- 現代思科設備包括安全啟動功能,不允許加載和執行修改後的軟體映像檔。
- 報告中提到的被竊取的程式碼簽章憑證不是來自思科,沒有任何思科的程式碼簽章憑證被竊取以對思科基礎設施設備進行攻擊的情況。
然而發言人也表示,警報強調了公司迫切需要更新、修補和安全配置其網路設備,這是維護安全和實現整體網路彈性的關鍵步驟。
更多關於中國APT的資訊:
中國 APT組織利用 HTML挾帶手法來攻擊歐洲外交部和大使館
研究稱中國APT駭客利用MgBot惡意軟體攻擊騰訊QQ,以監視非營利組織
中國APT駭客組織 Mustang Panda利用新的自訂義後門MQsTTang發動攻擊,瞄準歐洲、亞洲和澳洲,研究顯示已鎖定台灣政府機構!