Китайские госхакеры массово атакуют роутеры Cisco в правительстве и военной промышленности США. В панике ФБР, АНБ и полиция
Хакеры BlackTech из Китая, заручившись господдержкой, устроили массированную атаку на роутеры Cisco в госкомпаниях, СМИ, военной промышленности и других важных сферах. ФБР и АНБ бьют тревогу – хакеры встраивают в роутеры лазейки и делают их незаметными для администраторов.
Маршрутизаторы Cisco под огнем
Хакеры из Китая, известные как группа BlackTech, начала массовый взлом роутеров ушедшей из России компании Cisco. Она встраивает в них бэкдоры для доступа к нужным им сетям в удобные им моменты времени.
С предупреждением о деятельности BlackTech выступили американские федеральные ведомства – Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности защите инфраструктуры США (CISA), а также полиция США и японское агентство по вопросам информационной безопасности NISC. Все эти организации подготовили совместный отчет о китайских хакерах, пишет портал Bleeping Computer – одно это может указывать на размах их деятельности.
В отчете сказано, что BlackTech китайская APT-группировка киберпреступников, имеющая связи с китайскими властями и спонсируемая ими. По современным меркам это очень старая группа – первые упоминания о ней датированы еще 2010 г., то есть она орудует уже почти 14 лет, прикрываясь различными названиями. В разные моменты времени она была известна как Palmerworm, Circuit Panda и Radio Panda.
Чего добиваются хакеры
Согласно американо-японскому отчету правительственных ведомств, цель BlackTech – это правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники. Не менее интересны им средства массовой информации и компании, занятые в оборонной промышленности. Названия компаний, пострадавших от действий хакеров, в отчете не приведены.
В отчете сказано, что в своей работе хакеры BlackTech используют специальное, регулярно обновляемое вредоносное ПО, при помощи которого они и проникают в сети своих жертв через «железо» Cisco. Что еще более важно, одной только продукцией Cisco, как выяснили составители отчета, хакеры не ограничиваются – используя украденные учетные данные администратора сети, злоумышленники компрометируют широкий спектр марок, моделей и версий маршрутизаторов. Например, в последние годы их все чаще интересует продукция Fortinet, SonicWall и TP-Link.
Надежная, проверенная схема
По версии экспертов федеральных агентств, китайские хакеры устраивают незаметный взлом системы целевой организации, после чего, получив права администратора, вносят некоторые изменения в прошивку сетевых устройств, чтобы скрыть следы своего присутствия в сети и иметь возможность незаметно подключаться к ней. А чтобы подсаживаемые ими изменения в прошивку не были найдены, они нередко подписывают ROM-файлы с использованием украденных сертификатов подписи кода, что сбивает с толку и инженеров-безопасников, а защитные программные системы.
Дабы повысить свои шансы на взлом сети той или иной компании, хакеры не атакуют ее центральные офисы и тем более штаб-квартиру. Вместо этого они «прощупывают» филиалы компании в небольших городах в надежде, что их защита окажется менее надежной. Попав в локальную сеть отдаленных офисов, хакеры затем подключаются к сетям основных подразделений.
Установив бэкдор, хакеры, по сути, оставляют себе запасной и всегда открытый вход в интересующую их корпоративную сеть. А чтобы их пребывание в ней длилось столько, сколько им нужно, они прибегают к самым разным методам заметания следов. Например, они часто отключают ведение логов на скомпрометированных устройствах на время своего пребывания в сети и включают ее перед уходом.
В отчете содержится пример, когда китайские хакеры, получив контроль над роутером Cisco, в произвольные моменты времени сначала включали на нем SSH-бэкдор, а через некоторое время выключали его, используя для этого специализированные UDP- и TCP-пакеты. За счет этого все то время, что хакеров нет в сети, устройство видится администратору абсолютно безопасным и надежным.
А подчинить себе роутер Cisco, имеющий свои системы защиты, хакерам из Китая удается при помощи корректировки его памяти, которая отключает функцию ROM Monitor, служащую для проверки цифровой подписи прошивки маршрутизатора. Это дает им возможность встраивать в него модифицированную прошивку с заранее интегрированными в нее бэкдорами.
Cisco помогает хакерам
В отчете федеральных агентств приведен внушительный список рекомендаций для системных администраторов, которые могут помочь им снизить вероятность взлома сети их компании. Но проблема усугубляется тем, что иногда сами разработчики сетевых устройств помогают хакерам.
В первую очередь это касается Cisco. Компания известна не только тем, что отвернулась от России, но и тем, что регулярно показывает спину клиентам их других стран, заявляя, что не будет латать «дыры» в прошивках своих роутеров. Это происходит регулярно – например, в сентябре 2022 г. CNews писал, что Cisco решила не устранять опасную уязвимость CVE-2022-20923, найденную в ее устаревших роутерах, чей срок поддержки давно истек. Эта брешь – не брешь вовсе, а широчайшие виртуальные ворота для хакеров. Единственный способ защититься – купить новый роутер, поддержка которого еще действует, а через пару лет повторить этот шаг, когда Cisco откажется устранять другую уязвимость уже в более новых моделях. Например, такая ситуация возникла весной 2023 г. – Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса RV016, RV042, RV042G и RV082. В них нашлась «дыра» CVE-2023-20025, не менее опасная, чем упомянутая CVE-2023-20025