Il gruppo cinese BlackTech è in grado di violare i router di molte imprese e modificarne il firmware per nascondere i suoi attacchi
Autore: Redazione SecurityOpenLab
Diverse agenzie governative di sicurezza statunitensi e giapponesi, tra cui NSA e FBI, hanno congiuntamente segnalato che un threat actor cinese denominato BlackTech ha - e sta attivamente sfruttando - la capacità di modificare il firmware di router comunemente usati nelle imprese, in modo tale da conquistare l'accesso diretto alle sedi principali delle aziende che ha messo nel suo mirino.
BlackTech è un gruppo di threat actor noti anche come Palmerworm, Temp.Overboard, Circuit Panda e Radio Panda. È attivo dal 2010 e tradizionalmente attacca aziende e organizzazioni pubbliche statunitensi e dell'Est asiatico. Lo fa sviluppando malware mirati, per Windows come per Linux, che aggiorna costantemente in modo che non vengano riconosciuti dai software di cybersecurity.
I malware e le tecniche di attacco sviluppate da BlackTech permettono al gruppo di entrare nelle reti delle aziende bersaglio e di conquistarvi una prima posizione. A questo punto gli hacker ostili cercano di acquisire un accesso da amministratore ai dispositivi periferici della rete aziendale, tipicamente appliance di rete e router di fascia medio-bassa.
Il gruppo BlackTech, spiega il report delle agenzie di cybersecurity, è riuscito nel tempo a violare vari modelli di varie marche di router. L'unico esempio concreto fatto è però quello di alcuni router Cisco con firmware IOS, che possono essere compromessi in modo da creare una backdoor a cui accedere liberamente e continuativamente.
Il report scende nei dettagli tecnici di cosa può fare BlackTech prima e dopo la violazione di un router Cisco e del suo firmware. Indica anche alcune operazioni che si possono eseguire per rilevare gli attacchi di BlackTech e per difendersi. Anche se, in sintesi, queste operazioni riguardano il monitoraggio costante del traffico di rete e dei log dei router, alla ricerca di indizi di comportamenti sospetti.