Во скриениот свет на сајбер напади, три хакерски групи поддржани од Кина се исклучително моќни. Palmerworm, Circuit Panda и Radio Panda се финансирани од оваа азиска држава, а го привлекуваат светското внимание поради софистицираните напади и шпионски кампањи. Цел на групите сега се Cisco рутеририте – темел на инфраструктура на мрежите ширум светот. Преку компромитирање на Cisco рутерите, напаѓачите се стекнуваат со неограничен пристап до критични системи. Во опасност е сајбер безбедноста на бројни компании, организации и држави.
BlackTech е заедничко име за Palmerworm, Circuit Panda и Radio Panda. Групата досега извршила напади врз Јапонија, Тајван и Хонгконг. Активни се барем од 2010 година. Групата е синоним за индустриска шпионажа, крадење на интелектуална сопственост и геополитички интриги. Во минатото беа осомничени за напади врз државни, индустриски, технолошки, медиумски цели, а осомничени се и за напади врз цели од индустријата за електроника, телекомуникации и одбранбена индустрија.
Агенциите за спроведување на законот и сајбер-безбедност од САД и Јапонија предупредуваат за опасност од пробивање на безбедноста на мрежните уреди за инсталирање на безбедносни пропусти кои ќе овозможат пристап до корпоративните мрежи, пренесе Bleeping Computer. Извештајот е колаборација на Националната агенција за безбедност, Федералното истражно биро, Агенцијата за сајбер безбедност и инфраструктура, Јапонската национална полициска агенција и Јапонскиот национален центар за подготвеност за инциденти и стратегија за сајбер безбедност.
Кинеските сајбер групи користат специјализиран (custom) малициозен софтвер за напад на мрежни уреди. Веројатно е очекувано што најголем интерес има за уредите на Cisco. Производителот прави некои од најпопуларните и најпродавани уреди, па не е изненадување што рутерите на Cisco се интересни за напаѓачите.
Безбедносните експерти откриле дека напаѓачите имаат способност да активираат и деактивираат SSH споредна врата со помош на специјални TCP или UDP пакети кои се испраќаат до уредот. Ова им овозможува на напаѓачите да избегнат откривање. Дополнително напаѓачите користат украдени „code-signing“ сертификати за да го скријат својот малициозен код.
Кај рутерите на Cisco напаѓачите успеале да го прескокнат валидирањето преку Cisco ROM Monitor и да инсталираат безбедносен пропуст. Хакерите успеале на уредите да инсталираат нов фирмвер кој доаѓа со пропусти кој овозможуваат пристап до уредот со прескокнување на логовите. За да го отежнат откривањето напаѓачите промениле дел од командите во EEM кои се користат за автоматизација.
„Конкретно, откако ќе ја пробијат заштитата на мрежата и ќе се здобијат со администраторски пристап до крајните мрежни уреди, сајбер-актерите од BlackTech често го менуваат фирмверот за да ја скријат својата активност на крајните уреди и да одржат долготрајност во мрежата. За да го прошират своето присуство во организацијата, BlackTech ги напаѓаат „branch“ рутерите во компаниските мрежи – обично помали уреди кои се користат во филијалите за поврзување со седиштето – и потоа ја злоупотребуваат доверливата врска на овие рутери во корпоративната мрежа која е цел на нападот. Хакерите од BlackTech ги користат компромитираните јавно достапни филијални рутери како дел од својата инфраструктура за проксирање на сообраќајот, го кријат својот сообраќај во корпоративниот сообраќај и се ориентираат кон другите жртви во истата корпоративна мрежа.“, вели извештајот на NSA, FBI, CISA, NPA и JNPA.
Потврда за нападите заедно со дополнителни објаснувања за причините дојде и од Cisco.
Главна причина која им овозможува пристап на хакерите се украдени или слаби административни лозинки. Најголем дел од промените не се можни без административен пристап. Иако рутерите на Cisco се жртви во овие напади, нема никаков показател дека се злоупотребува пропуст кај рутерите за да се направат промените.
Современите уреди на Cisco вклучуваат можности за безбедно подигање, што нема да дозволи вчитување и извршување на изменети софтверски слики (software images). Украдените сертификати за потпишување на код споменати во извештајот не се од Cisco.
Стани премиум член и доби пристап до сите содржини, специјален попуст на над 2.200 производи во ИТ маркет, верификуван профил и можност за огласување на ИТ Огласник. Плус ќе го поддржиш медиумот кој го градиме цели 16 години!
Доколку веќе имаш премиум членство, најави се тука.
