De Amerikaanse overheid waarschuwt voor de aan China gelieerde Blacktech-hackersbende die firmware in edge devices vervangt met een eigen backdoor-versie. Met name routers van Cisco zijn kwetsbaar.
De Amerikaanse NSA, FBI, toezichthouder CISA en de Japanse politie waarschuwen voor de activiteiten van de hackersbende Blacktech. Deze bende die aan de Chinese overheid gelieerd zou zijn, voert vooral aanvallen uit op doelen in de Verenigde Staten en Japan.
Bij hun aanvallen richten de hackers zich op edge devices, zoals routers. Zij zoeken daarbij admin-toegang en vervangen de bestaande firmware op de routers met een eigen versie. Deze aangepaste firmwareversie zorgt ervoor dat de aanvallen voor detectie verborgen blijven en voor persistent toegang.
Blacktech-aanvalstechnieken
Meer concreet installeren de Blacktech-hackers op de devices waar zij toegang tot krijgen eerst een oude legitieme firmwareversie die in het geheugen wordt aangepast.
Dit maakt de installatie van een aangepaste niet-gevalideerde bootloader mogelijk die vervolgens weer de aangepaste niet-gevalideerde malafide firmware installeert. De aangepaste bootloader moet detectie voorkomen.
De hackers gebruiken ook zogenoemde Embedded Event Manager (EEM) policies voor het voorkomen van detectie. Hiermee worden de resultaten van CLI-commando’s gemanipuleerd.
Cisco-routers vaak doelwit
De meeste routers die door de Chinese aanvallers worden gehackt, lijken vaak Cisco-routers te zijn. Ook kunnen volgens de veiligheidsdiensten routers en edge devices van andere fabrikanten het doelwit vormen.
Cisco heeft in een verklaring aangegeven dat zijn routers inderdaad doelwit van de Blacktech-bende zijn. Als reden voor deze voorkeur geeft de techgigant dat zijn routers gevoelig zijn voor zwakke en gestolen wachtwoorden.
Cisco heeft nog niet de indicatie dat de kwetsbaarheden zijn misbruikt voor het stelen van data. Alleen zouden aanpassingen op admin-niveau aan de getroffen devices zijn gedaan.
Daarnaast richtten de aanvallen zich alleen op legacy Cisco-routers, aangezien moderne devices over secure boot-functionaliteit beschikken die het laden en draaien van aangepaste software images onmogelijk maken. Ook zouden er geen certificaten van Cisco zijn misbruikt.
Bestrijdingstips
De malware van Balcktech valt te bestrijden door het toepassen van diverse best practices, geven de veiligheidsorganisaties en Cisco aan.
Denk aan het regelmatig monitoren van firmware-aanpassingen, het uitvoeren van bestands- en geheugenverificatie, maar ook logs controleren op ongeautoriseerde herstarts of versie-aanpassingen, het controleren van in- en uitgaande verbindingen naar de routers en het uitschakelen van uitgaande verbindingen.
Tip: Cisco koopt Splunk: Full-Stack Observability komt steeds dichterbij
18 uur geleden
