Diverse agenzie governative di sicurezza statunitensi e giapponesi, tra cui NSA e FBI, hanno congiuntamente segnalato che un threat actor cinese denominato BlackTech ha - e sta attivamente sfruttando - la capacità di modificare il firmware di router comunemente usati nelle imprese, in modo tale da conquistare l'accesso diretto alle sedi principali delle aziende che ha messo nel suo mirino.

BlackTech è un gruppo di threat actor noti anche come Palmerworm, Temp.Overboard, Circuit Panda e Radio Panda. È attivo dal 2010 e tradizionalmente attacca aziende e organizzazioni pubbliche statunitensi e dell'Est asiatico. Lo fa sviluppando malware mirati, per Windows come per Linux, che aggiorna costantemente in modo che non vengano riconosciuti dai software di cybersecurity.

I malware e le tecniche di attacco sviluppate da BlackTech permettono al gruppo di entrare nelle reti delle aziende bersaglio e di conquistarvi una prima posizione. A questo punto gli hacker ostili cercano di acquisire un accesso da amministratore ai dispositivi periferici della rete aziendale, tipicamente appliance di rete e router di fascia medio-bassa.Con questo accesso riescono a modificare il firmware dei router a piacimento, cosa che in sintesi permette loro di "mimetizzare" le proprie azioni all'interno del traffico di rete dell'impresa e di muoversi liberamente nell'infrastruttura globale dell'azienda. Raggiungendo anche le sue sedi centrali, che sono il boccone più ghiotto.

Il gruppo BlackTech, spiega il report delle agenzie di cybersecurity, è riuscito nel tempo a violare vari modelli di varie marche di router. L'unico esempio concreto fatto è però quello di alcuni router Cisco con firmware IOS, che possono essere compromessi in modo da creare una backdoor a cui accedere liberamente e continuativamente.

Il report scende nei dettagli tecnici di cosa può fare BlackTech prima e dopo la violazione di un router Cisco e del suo firmware. Indica anche alcune operazioni che si possono eseguire per rilevare gli attacchi di BlackTech e per difendersi. Anche se, in sintesi, queste operazioni riguardano il monitoraggio costante del traffico di rete e dei log dei router, alla ricerca di indizi di comportamenti sospetti.