Агентство національної безпеки США, Федеральне бюро розслідувань і японська поліція спільно попередили транснаціональні компанії про пов’язану з Китаєм хакерську групу BlackTech, яка активно націлюється та використовує маршрутизатори, зокрема маршрутизатори Cisco Systems Inc. Про це повідомляє SiliconAngle.
У повідомленні йдеться, що BlackTech, також відомий як Palmerworm, Temp.Overboard, Circuit Panda і Radio Panda, продемонстрував можливості модифікації прошивки маршрутизатора без виявлення. Хакери використовували domain-trust маршрутизаторів для переходу від міжнародних дочірніх компаній до штаб-квартир у Японії та США.
Діяльність групи загрожує урядовим, промисловим, технологічним, медійним та телекомунікаційним секторам, а також організаціям, які підтримують військові сили США та Японії.
BlackTech використовують спеціальні шкідливі програми, інструменти подвійного призначення, такі як відключення входу в маршрутизатори, щоб приховати свої операції. У попередженні міститься докладна інформація про тактику, методи та процедури BlackTech, а також наголошується на необхідності для корпорацій переглядати всі підключення дочірніх компаній і перевіряти доступ.
Підприємствам також рекомендовано розглянути можливість впровадження моделей нульової довіри, щоб обмежити ступінь потенційного впливу BlackTech, виявити зловмисну діяльність і захистити пристрої від бекдорів, які залишають учасники BlackTech.
Cisco також опублікувала попередження щодо загрози BlackTech, зазначивши, що найпоширеніший початковий вектор доступу в цих атаках включає вкрадені або слабкі облікові дані адміністратора.
Також у компанії заявили, що немає жодних ознак того, що будь-яка вразливість Cisco була використана.
«Той факт, що BlackTech націлений на маршрутизатори філій, демонструє продуманий підхід до використання відносин довіри, які ці маршрутизатори підтримують у корпоративних мережах. За допомогою компрометації цих менших, потенційно менш захищених пристроїв, група може безперешкодно влитися у законний корпоративний мережевий трафік, що ускладнює виявлення. Цей підхід також полегшує переміщення мережею й дає змогу зловмисникам повертатися та розширювати свій доступ до інших систем, дочірніх компаній і навіть штаб-квартир цільових організацій», – сказала SiliconAngle Келлі Гюнтер, старший менеджер із дослідження кіберзагроз у фірмі керованого виявлення та реагування Critical Start Inc.
ProIT цього місяця повідомляли, що хакери вкрали ключ підпису Microsoft з аварійного дампа Windows.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
