大手ブランドのルーターやその他のネットワーク機器に関して、国家支援のハッカーが存在することは、今や珍しいことではありません。 「BlackTech」と呼ばれる中国の有名なサイバー犯罪グループは、機密データを窃取するために Cisco ルーターを積極的にターゲットにしています。米国家安全保障局(NSA)、連邦捜査局(FBI)、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、日本の警察およびサイバーセキュリティ当局とともに、BlackTechの活動を詳述し、攻撃の影響を軽減するための勧告を提供する共同勧告を発表した。
Palmerworm、Temp.Overboard、CircuitPanda、RadioPanda としても知られる BlackTech は、2010 年から活動を続けています。報告書では、これらのサイバー犯罪者は中国を起源とし、これまで米国および東アジアの政府、業界、メディア、電子機器、電気通信、防衛請負業者などの組織を標的にしてきたと述べています。
このサイバー攻撃者は、人気のルーター ブランドを侵害するためのカスタム マルウェアと「カスタム永続化メカニズム」の開発を専門としています。米国と日本は、これらのカスタムメイドの悪意のあるプログラムには、ログの無効化、信頼できるドメイン関係の悪用、機密データの侵害などの危険な機能が含まれていると警告しています。この警告には、Windows、Linux、さらには FreeBSD オペレーティング システムへの攻撃に使用される、BendyBear、Bifrose、SpiderPig、WaterBear などの特定のマルウェア株のリストが含まれています。
この勧告では、BlackTech が被害者のデバイスへの初期アクセスを取得するためにどのような方法を使用したかに関する手がかりは提供されていません。これには、一般的に盗まれた認証情報や、未知の「非常に高度な」ゼロデイ セキュリティ脆弱性が含まれている可能性があります。サイバー犯罪者は侵入すると、Cisco IOS コマンド ライン インターフェイス(CLI)を悪用して、公式ルータ ファームウェアを侵害されたファームウェア イメージに置き換えます。
このアドバイザリでは、このプロセスは、「ホット パッチ」テクノロジを通じてメモリ内のファームウェアを変更することから始まります。これは、変更されたブートローダーと変更されたファームウェアをインストールするために必要なエントリ ポイントです。変更されたファームウェアはインストールされると、ルーターのセキュリティ機能をバイパスし、バックドア アクセスを有効にし、ログに痕跡を残さず、アクセス コントロール リスト (ACL) の制限を回避することができます。
BlackTech の悪意のある活動を検出して阻止するために、企業や組織はいくつかの「最善の緩和策」に従うことが推奨されます。 IT スタッフは、仮想テレタイプ (VTY) 回線に「transportoutputnone」設定コマンドを適用することで、アウトバウンド接続を無効にし、インバウンド接続とアウトバウンド接続を監視し、アクセスを制限し、ログを監視する必要があります。
また、組織はネットワーク デバイスを最新のファームウェア バージョンにアップグレードし、単一のパスワードが漏洩した可能性がある場合はすべてのパスワードとキーを変更し、ファイルとメモリの定期的な検証を実行し、ファームウェアの変更を監視する必要があります。米国と日本は、侵害された Cisco ルータについて警告を発しましたが、共同勧告に記載されている技術は、他の有名ブランドのネットワーク機器にも簡単に適用できる可能性があります。
もっと詳しく知る:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a