Сегодня 29 ноября 2023
18+
MWC 2018 2018 Computex IFA 2018
Новости Software

Китайские хакеры тайно захватили роутеры Cisco в важнейших секторах США — ФБР и АНБ забили тревогу

Хакерская группировка BlackTech, предположительно связанная с властями Китая, осуществляет масштабные атаки на роутеры Cisco, используемые в правительственных учреждениях, СМИ, военной промышленности и других ключевых секторах США. Американские и японские агентства безопасности и правоохранительные органы бьют тревогу, так как хакеры внедряют в оборудование Cisco уязвимости, оставаясь незамеченными для системных администраторов.

 Источник изображения: Cisco

Источник изображения: Cisco

Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР) и Агентство по кибербезопасности и защите инфраструктуры США (CISA), полиция США и Японский Национальный центр готовности к инцидентам и стратегии кибербезопасности (NISC) подготовили отчёт о деятельности этой хакерской группы, подчёркивая серьёзность и масштаб возникшей угрозы. В отчёте приводится список вредоносных программ, таких как BendyBear, Bifrose, SpiderPig и WaterBear, которые используются для атак на операционные системы Windows, Linux и даже FreeBSD.

BlackTech, также известная как Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda, ведёт свою преступную деятельность с 2010 года. Эта китайская APT-группировка (Advanced Persistent Threat — англ. постоянная серьезная угроза) создаёт и использует специализированное вредоносное ПО для проникновения в сети через оборудование компании Cisco и других крупных брендов, таких как Fortinet, SonicWall и TP-Link.

Хакеры BlackTech предпочитают атаковать филиалы компаний в небольших городах, где системы защиты могут быть менее надёжными. После получения доступа к локальной сети филиалов, они подключаются к сети головных организаций. Целью группировки являются правительственный сектор, компании с госучастием, а также предприятия из сфер промышленности, информационных технологий, телекоммуникаций и электроники.

Специфика методов, которыми BlackTech получает первоначальный доступ к устройствам своих жертв, остаётся неизвестной. Это могут быть как кража учётных данных сотрудников, так и неизвестные и чрезвычайно изощрённые уязвимости нулевого дня. После проникновения киберпреступники используют интерфейс командной строки Cisco IOS (CLI) для замены легитимной прошивки маршрутизатора на скомпрометированную версию.

Всё начинается с того, что прошивка модифицируется в памяти с использованием метода «горячего патчинга». Этот этап критически важен для установки модифицированного загрузчика и изменённой прошивки. После завершения установки, модифицированная прошивка может обходить защитные механизмы маршрутизатора, активировать бэкдоры, не оставляя при этом следов в системных журналах и игнорируя ограничения, установленные списками контроля доступа (ACL).

Киберпреступники применяют различные методы сокрытия своего присутствия в сетях жертвы, включая отключение ведения логов на скомпрометированных устройствах и используют украденные сертификаты подписи кода для подписи ROM-файлов. Хакеры используют специализированные UDP- и TCP-пакеты для включения и отключения SSH-бэкдоров на роутерах Cisco в произвольные моменты времени, скрывая таким образом свою активность от системных администраторов.

Cisco усугубляет проблему, отказываясь от поддержки своего устаревшего оборудования и устранения известных уязвимостей в своих роутерах. Например, компания регулярно отказывается устранять опасные уязвимости, такие как CVE-2022-20923 и CVE-2023-20025, в своих устаревших роутерах, чей срок поддержки давно истёк. Так, весной 2023 года Cisco отказалась выпускать патч для роутеров, предназначенных для домашнего использования и малого бизнеса, в которых была найдена опасная уязвимость. Это создаёт дополнительные риски для пользователей и открывает возможности для киберпреступников.

Для выявления и блокирования вредоносных действий BlackTech компаниям и организациям настоятельно рекомендуется придерживаться оптимальных стратегий смягчения рисков. ИТ-специалистам следует блокировать исходящие соединения, используя конфигурационную команду «transport output none» к виртуальным телетайповым (VTY) линиям, а также контролировать все соединения, ограничивать доступ и вести детализированный учёт событий в системных журналах.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
Microsoft выпустила «уродливый» рождественский свитер в стиле Windows XP 2 ч.
Amazon представила корпоративный чат-бот Amazon Q 2 ч.
Capcom наконец подтвердила дату выхода Dragon's Dogma 2 и показала много нового геймплея — сражения с монстрами, параллельный мир и эльфийский язык 5 ч.
Еженедельный чарт Steam: главный хит осенней распродажи обошёл Cyberpunk 2077, но уступил кооперативному хоррору Lethal Company 7 ч.
Bethesda ответила игрокам на критику постоянных загрузок и быстрого перемещения в Starfield 7 ч.
Cyberpunk 2077: Phantom Liberty взяла новую вершину продаж, а над The Witcher 4 работает уже почти половина CD Projekt RED 9 ч.
Создатели сериала Fallout поделились новыми кадрами и подробностями сюжета — завязка, главные герои и каноничная история 10 ч.
Evernote ограничит бесплатных пользователей 50 заметками — для большего придётся оформить платную подписку 11 ч.
Paint в Windows 11 обзавёлся ИИ-генератором изображений на базе DALL-E 3 11 ч.
Дата выхода, системные требования и поддержка русского языка: Capcom раньше времени обновила страницу Dragon’s Dogma II в Steam 11 ч.
NVIDIA дарит трёхмесячную подписку на игровые сервисы Microsoft PC Game Pass и GeForce Now покупателям видеокарт GeForce RTX 40-й серии 2 ч.
AWS представила 96-ядерный Arm-процессор Graviton4 и ИИ-ускоритель Trainium2 3 ч.
Новая статья: Зачем нужны сети 6G, если 5G все еще так и не стали массовыми? 5 ч.
Cerebras, критиковавшая NVIDIA за сотрудничество с Китаем, сама оказалась связана с компанией, ведущей дела с Пекином 5 ч.
ОАЭ присоединились к китайскому проекту по созданию базы на Луне 6 ч.
Новая статья: Обзор робота-уборщика Evolution AIRO White со станцией самоочистки 6 ч.
NVIDIA и Amazon анонсировали мощнейший облачный ИИ-суперкомпьютер Project Ceiba 7 ч.
Amazon представила мощные ускорители Trainium2 для обучения больших ИИ-моделей, а также Arm-процессоры Graviton4 8 ч.
NVIDIA анонсировала суперускоритель GH200 NVL32 и очередной самый мощный в мире ИИ-суперкомпьютер Project Ceiba 8 ч.
Huawei представила первый в мире планшет со спутниковой связью — MatePad Pro 11 (2024) на скандальном чипе Kirin 9000S 9 ч.