ABD ve Japon kolluk kuvvetleri ve siber güvenlik ajansları, Çin 'Blacktech' bilgisayar korsanlarını, kurumsal ağlara erişim için özel backdoors yüklemek için ağ cihazlarını ihlal ediyor.
Ortak rapor, devlet destekli hackleme grubunun kurumsal merkez ağlarına döndürmek için uluslararası iştiraklerdeki ağ cihazlarını ihlal ettiğini açıklayan FBI, NSA, CISA ve Japon NISC (Siber Güvenlik) ve NPA'dan (polis) geliyor.
Blacktech (diğer adıyla Palmerworm, Circuit Panda ve Radyo Panda), Japon, Tayvanlı ve Hong Kong merkezli varlıklara en az 2010'dan beri siber casusluk saldırıları yürüttüğü bilinen devlet destekli bir Çin APT grubudur (ileri kalıcı tehdit).
Blacktech hedefleri sektörler arasında hükümet, endüstriyel, teknoloji, medya, elektronik, telekomünikasyon ve savunma endüstrisi yer alıyor.
FBI bildirimi, BlackTech hackerlarının kalıcılık, ağlara ilk erişim için kullanılan arka kapı ağ cihazlarına özel, düzenli olarak güncellenmiş kötü amaçlı yazılım kullandığı ve trafiği saldırgan kontrollü sunuculara yönlendirerek verileri çaldığı konusunda uyarıyor.
Danışmanlık, özel kötü amaçlı yazılımların bazen çalıntı kod imzalama sertifikaları kullanılarak imzalandığı ve güvenlik yazılımının tespit etmesini zorlaştırdığı konusunda uyarır.
Çalıntı yönetici kimlik bilgilerini kullanarak, saldırganlar çok çeşitli yönlendirici markaları, modeller ve sürümlerden ödün veriyor, kalıcılık oluşturuyor ve ağda yanal olarak hareket ediyor.
Ortak Siber Güvenlik Danışmanlığı ile açıklandığı gibi:
"Özellikle, bir hedef ağa ilk bir dayanak kazandıktan ve yöneticinin ağ kenar cihazlarına erişimi kazandıktan sonra, BlackTech siber aktörler genellikle ürün yazılımını, ağdaki kalıcılığı daha da korumak için etkinliklerini kenar cihazları boyunca gizlemek için değiştirir. Organizasyon, BlackTech aktörleri, bir şirket merkezine bağlanmak için uzak şube ofislerinde kullanılan tipik olarak daha küçük cihazları hedef hedefleyin ve daha sonra hedeflenen şirket ağındaki şube yönlendiricilerinin güvenilir ilişkisini kötüye kullanın. Yönlendiriciler, trafiği proxying altyapılarının bir parçası olarak, kurumsal ağ trafiğiyle harmanlıyor ve aynı kurumsal ağdaki diğer kurbanlara dönüyorlar. "
Değiştirilmiş ürün yazılımı, tehdit aktörlerinin yapılandırma değişikliklerini ve yürütülen komutların geçmişini gizlemesine izin verir. Ayrıca, kötü niyetli işlemlerde aktif olarak girerken, tehlikeye atılan bir cihazda giriş yapmalarını devre dışı bırakmalarını sağlar.
Özellikle Cisco yönlendiricileri için, araştırmacılar, cihazlara gönderilen özel hazırlanmış TCP veya UDP paketlerini kullanarak bir SSH arka kapısını sağlayan ve devre dışı bırakan saldırganları gözlemlediler. Bu yöntem, saldırganların algılamadan kaçınmasına ve yalnızca gerektiğinde arka kapıyı etkinleştirmesine izin verir.
Tehdit aktörleri, Cisco Rom Monitor'un imza doğrulama fonksiyonlarını atlamak için Cisco cihazlarının hafızasını yamaladığı gözlemlendi. Bu, tehdit aktörlerinin, cihaza açılmamış erişimi sağlayan arka kapılarla önceden yüklenmiş olarak gelen değiştirilmiş ürün yazılımı yüklemesini sağlar.
İhlal edilen Cisco yönlendiricileri durumunda, bilgisayar korsanları ayrıca görev otomasyonu için kullanılan EEM politikalarını değiştirerek, yürütme ve forensik analizleri engellemek için belirli dizeleri meşru komutlardan çıkarır.
Özel kötü amaçlı yazılım oluşturmak, BlackTech APT Grubu için yeni değil, NTT ve Birim 42'nin iki 2021 raporu, tehdit oyuncunun bu taktiği kullanımını vurguluyor.
Eski bir trend mikro raporu, savunmasız yönlendiricileri C2 sunucuları olarak kullanmak için tehlikeye atma taktikinden özellikle bahsetti.
Danışmanlık, sistem yöneticilerine, yönlendiricilerde değiştirilmiş ürün yazılımını yüklemenin bir parçası olabilecek bootloader ve ürün yazılımı görüntülerinin ve olağandışı cihaz yeniden başlatmalarının yetkisiz indirmelerini izlemelerini tavsiye eder.
Yönlendiricide gözlemlenen SSH trafiği de yüksek şüphe ile tedavi edilmelidir.
Aşağıdaki hafifletme uygulamaları önerilmektedir:
Cisco ayrıca konuyla ilgili bir güvenlik danışmanlığı yayınladı ve BlackTech'in ürünlerinde bir güvenlik açığından veya kötü amaçlı yazılımlarını imzalamak için çalıntı bir sertifikadan yararlandığına dair bir gösterge olmadığını vurguladı.
Ayrıca Cisco, ürün yazılımını güvenlik önlemlerini atlamak için düşürmeyi içeren saldırı yönteminin yalnızca eski, eski ürünler için geçerli olduğunu belirtiyor.
Ağ cihazlarının hedeflenmesi, geçen yıl boyunca bir artış gördü ve Çince hizalanmış tehdit aktörleri Fortinet, TP-Link ve Sonicwall Network cihazlarını özel kötü amaçlı yazılımları hedefliyor.
ABD, İngiltere ve Cisco, Nisan ayında Rus APT28 (Fancy Bear, Strontium) devlet destekli hackleme grubu tarafından Cisco IOS cihazlarına yapılan saldırılarla uyardı ve bu da özel kötü amaçlı yazılımları içsel cihazlara yönelmek ve pivot çalmak için kullandı.
Edge Network cihazları EDR (uç nokta algılama ve yanıt) güvenlik çözümlerini yaygın olarak desteklemediğinden, tehdit aktörlerinin veri hırsızlığı ve bir ağa ilk erişim için kullanmaları için ana hedeflerdir.
Mandiant CTO Charles Carmakal, Mayıs ayında BleepingComputer'a verdiği demeçte, "Keyzettiz çözümlerini desteklemeyen ağ cihazları, IoT cihazları vb. Üzerine devam eden sürekli Çin-nexus siber casusluk odağı var." Dedi.
Bu nedenle, ağ yöneticileri, kullanılabilir hale gelir gelmez, mevcut tüm güvenlik yamalarını, yönetim konsollarını herkese açık olarak ortaya çıkarmaz yüklemelidir.
Siber casusluk saldırılarında kullanılan yeni sprysocks linux kötü amaçlı yazılım
Microsoft: Gizli Keten Typhoon Hacker'ları algılamadan kaçmak için lolbins kullanıyor
Budworm Hackers, özel kötü amaçlı yazılımlarla telcos ve govt orgs hedef
Asya Hükümeti'ne karşı saldırıda kaçan Gelsemium hacker
‘Sandman’ hackerlar yeni luadream kötü amaçlı yazılımlarla arka kapı telcos
Kaynak: Bleeping Computer