Las agencias de seguridad cibernética y policiales de Estados Unidos y Japón advierten que los piratas informáticos chinos ‘BlackTech’ violan dispositivos de red para instalar puertas traseras personalizadas para acceder a redes corporativas.
El informe conjunto proviene del FBI, la NSA, la CISA y el NISC (ciberseguridad) y la NPA (policía) japoneses, quienes explican que el grupo de piratería patrocinado por el estado está violando dispositivos de red en subsidiarias internacionales para pasar a las redes de las sedes corporativas.
BlackTech (también conocido como Palmerworm, Circuit Panda y Radio Panda) es un grupo APT (amenaza persistente avanzada) chino patrocinado por el estado conocido por realizar ataques de ciberespionaje contra entidades japonesas, taiwanesas y con sede en Hong Kong desde al menos 2010.
Los sectores a los que se dirige BlackTech incluyen el gobierno, la industria, la tecnología, los medios de comunicación, la electrónica, las telecomunicaciones y la industria de defensa.
El aviso del FBI advierte que los piratas informáticos de BlackTech utilizan malware personalizado y actualizado periódicamente para dispositivos de red de puerta trasera, que se utilizan para la persistencia, el acceso inicial a las redes y para robar datos redirigiendo el tráfico a servidores controlados por el atacante.
El aviso advierte que el malware personalizado a veces se firma utilizando certificados de firma de código robados, lo que dificulta la detección del software de seguridad.
Al aprovechar las credenciales de administrador robadas, los atacantes comprometen una amplia gama de marcas, modelos y versiones de enrutadores, establecen persistencia y se mueven lateralmente en la red.
El firmware modificado permite a los actores de amenazas ocultar los cambios de configuración y el historial de comandos ejecutados. También les permite desactivar el inicio de sesión en un dispositivo comprometido mientras participan activamente en operaciones maliciosas.
Para los enrutadores Cisco en particular, los investigadores han observado que los atacantes habilitan y deshabilitan una puerta trasera SSH mediante el uso de paquetes TCP o UDP especialmente diseñados que se envían a los dispositivos. Este método permite a los atacantes evadir la detección y solo habilitar la puerta trasera cuando sea necesario.
También se ha observado que los actores de amenazas parchean la memoria de los dispositivos Cisco para evitar las funciones de validación de firmas del Cisco ROM Monitor. Esto permite a los actores de amenazas cargar firmware modificado que viene preinstalado con puertas traseras que permiten el acceso sin registros al dispositivo.
En los casos de enrutadores Cisco violados, los piratas informáticos también modifican las políticas EEM utilizadas para la automatización de tareas, eliminando ciertas cadenas de comandos legítimos para bloquear su ejecución y obstaculizar el análisis forense.
La creación de malware personalizado no es nueva para el grupo BlackTech APT, con dos informes de 2021 de NTT y Unit 42 que destacan el uso de esta táctica por parte del actor de amenazas.
El aviso recomienda a los administradores de sistemas que controlen las descargas no autorizadas de imágenes de firmware y cargador de arranque y reinicios inusuales de dispositivos que podrían ser parte de la carga de firmware modificado en los enrutadores.
Se recomiendan las siguientes prácticas de mitigación:
Utilice el comando «transportar salida ninguna» para evitar conexiones externas no deseadas.
Supervise el tráfico entrante/saliente en los dispositivos, especialmente el acceso no autorizado, y separe los sistemas administrativos con VLAN.
Permita únicamente direcciones IP específicas para administradores de red y realice un seguimiento de los intentos de inicio de sesión.
Haga la transición a dispositivos con arranque seguro avanzado y priorice la actualización de equipos obsoletos.
Actúe con prontitud para cambiar todas las contraseñas y claves cuando se sospeche de una infracción.
Examine los registros en busca de anomalías como reinicios inesperados o cambios de configuración.
Utilice la metodología de integridad del dispositivo de red (NDI) para detectar alteraciones no autorizadas.
Compare los registros de arranque y el firmware con versiones confiables de forma rutinaria.
Cisco también publicó un aviso de seguridad sobre el tema, destacando que no hay indicios de que BlackTech aproveche una vulnerabilidad en sus productos o un certificado robado para firmar su malware.
