Agências policiais e de segurança cibernética dos EUA e do Japão alertam sobre hackers do grupo chinês BlackTech violando dispositivos de rede para instalar backdoors personalizadas para acesso a redes corporativas.
O relatório conjunto vem do FBI, Agência de Segurança Nacional (NSA) e da Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA e dos japoneses NISC (National center of Incident readiness and Strategy for Cybersecurity) e NPA (Agência Nacional de Polícia), que explicam que o grupo de hackers patrocinado pelo governo chinês está violando dispositivos de rede em subsidiárias internacionais para girar para as redes das sedes corporativas.
O grupo BlackTech — também conhecido como Palmerworm, Circuit Panda e Radio Panda — é um grupo chinês de ameaça persistente avançada (APT) conhecido por realizar ataques de espionagem cibernética contra entidades japonesas, taiwanesas e baseadas em Hong Kong desde pelo menos 2010.
Os setores visados pela BlackTech incluem governo, indústria, tecnologia, mídia, eletrônica, telecomunicações e indústria de defesa.
O aviso do FBI alerta que os hackers usam malware personalizado e atualizado regularmente para dispositivos de rede backdoor, que são usados para persistência, acesso inicial a redes e para roubar dados redirecionando o tráfego para servidores controlados por invasores.
O comunicado alerta que o malware personalizado às vezes é assinado usando certificados de assinatura de código roubados, dificultando a detecção de software de segurança.
Ao aproveitar credenciais de administrador roubadas, os invasores comprometem uma ampla gama de marcas, modelos e versões de roteadores, estabelecem persistência e se movem lateralmente na rede.
O firmware modificado permite que os operadores de ameaças ocultem as alterações de configuração e o histórico de comandos executados. Ele também permite que eles desativem o registro em um dispositivo comprometido enquanto se envolvem ativamente em operações maliciosas.
Para roteadores Cisco em particular, os pesquisadores observaram os invasores habilitando e desabilitando uma backdoor SSH (Secure Shell) usando pacotes TCP ou UDP especialmente criados que são enviados para os dispositivos. Esse método permite que os invasores evitem a detecção e só habilitem o backdoor quando necessário.
Os operadores de ameaças também foram observados corrigindo a memória dos dispositivos Cisco para ignorar as funções de validação de assinatura do Cisco ROM Monitor. Isso permite que os operadores de ameaças carreguem firmware modificado que vem pré-instalado com backdoors que permitem o acesso não conectado ao dispositivo.
Em casos de roteadores Cisco violados, os hackers também modificam os miniaplicativos EEM (Embedded Event Manager) usados para automação de tarefas, removendo certas cadeias de caracteres de comandos legítimos para bloquear sua execução e dificultar a análise forense.
A criação de malware personalizado não é novidade para o grupo BlackTech APT, com dois relatórios de 2021 da NTT e da Unit 42 destacando o uso dessa tática pelo agente de ameaças. Um relatório mais antigo da Trend Micro mencionou especificamente a tática de comprometer roteadores vulneráveis para usá-los como servidores de comando e controle (C&C).
Recomendações de defesa
O comunicado aconselha os administradores de sistema a monitorar downloads não autorizados de imagens de bootloader e firmware e reinicializações de dispositivos incomuns que possam fazer parte do carregamento de firmware modificado em roteadores.
O tráfego SSH observado no roteador também deve ser tratado com alta suspeita.
Veja isso
Cisco alerta sobre falhas em roteadores em fim de vida útil
Patch da Cisco corrige zero day no IOS XR de roteadores
As seguintes práticas de mitigação são recomendadas:
- Use o comando “transport output none” para evitar conexões externas indesejadas.
- Supervisione o tráfego de entrada/saída em dispositivos, especialmente o acesso não autorizado, e separe os sistemas administrativos com VLANs.
- Permita apenas endereços IP específicos para administradores de rede e rastreie tentativas de login.
- Faça a transição para dispositivos com inicialização segura avançada e priorize a atualização de equipamentos desatualizados.
- Agir prontamente para alterar todas as senhas e chaves quando houver suspeita de violação.
- Examine os logs em busca de anomalias, como reinicializações inesperadas ou alterações de configuração.
- Utilize a metodologia NDI (Network Device Integrity) para detectar alterações não autorizadas.
- Compare registros de inicialização e firmware com versões confiáveis rotineiramente.
A Cisco também publicou um comunicado de segurança sobre o tema, destacando que não há indicação de que a BlackTech aproveite uma vulnerabilidade em seus produtos ou um certificado roubado para assinar seu malware. Além disso, a empresa observa que o método de ataque que envolve o downgrade do firmware para ignorar medidas de segurança só se aplica a produtos legados mais antigos.
O direcionamento de dispositivos de rede teve um aumento no ano passado, com os operadores de ameaças alinhados à China também visando dispositivos de rede Fortinet, TP-Link e SonicWall com malware personalizado.
