Los piratas informáticos patrocinados por el Estado ya no son nada nuevo en cuanto a enrutadores de grandes marcas y otros equipos de red. Un conocido grupo cibercriminal chino llamado "BlackTech" está atacando activamente los enrutadores de Cisco para extraer datos confidenciales. La Agencia de Seguridad Nacional de Estados Unidos (NSA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), junto con la policía y las autoridades de ciberseguridad japonesas, emitieron un aviso conjunto que detalla las actividades de BlackTech y proporciona recomendaciones para mitigar las consecuencias de los ataques.
BlackTech, también conocido como Palmerworm, Temp.Overboard, CircuitPanda y RadioPanda, ha estado activo desde 2010. El informe afirma que estos ciberdelincuentes se originan en China e históricamente han atacado organizaciones gubernamentales, industriales, de medios, de electrónica, telecomunicaciones y contratistas de defensa en los Estados Unidos y el este de Asia.
Este actor cibernético se especializa en desarrollar malware personalizado y "mecanismos de persistencia personalizados" para comprometer marcas de enrutadores populares. Estados Unidos y Japón advierten que estos programas maliciosos personalizados incluyen características peligrosas como deshabilitar el registro, abusar de las relaciones de dominio confiables y comprometer datos confidenciales. La advertencia incluye una lista de cepas de malware específicas, como BendyBear, Bifrose, SpiderPig y WaterBear, utilizadas para atacar los sistemas operativos Windows, Linux e incluso FreeBSD.
El aviso no proporciona ninguna pista sobre qué método utilizó BlackTech para obtener acceso inicial al dispositivo de la víctima, que podría incluir credenciales robadas comunes o incluso alguna vulnerabilidad de seguridad de día cero desconocida y "muy sofisticada". Una vez dentro, los ciberdelincuentes abusan de la interfaz de línea de comandos (CLI) del IOS de Cisco para reemplazar el firmware oficial del enrutador con una imagen de firmware comprometida.
El aviso advierte que el proceso comienza modificando el firmware en la memoria mediante la tecnología de "parches en caliente", que es el punto de entrada necesario para instalar un gestor de arranque modificado y un firmware modificado. Una vez instalado, el firmware modificado puede eludir las funciones de seguridad del enrutador, habilitar el acceso por puerta trasera, no dejar rastros en los registros y eludir las restricciones de la lista de control de acceso (ACL).
Para detectar y frustrar las actividades maliciosas de BlackTech, se recomienda a las empresas y organizaciones que sigan algunas "mejores prácticas de mitigación". El personal de TI debe deshabilitar las conexiones salientes, monitorear las conexiones entrantes y salientes, restringir el acceso y monitorear los registros aplicando el comando de configuración "transportoutputnone" a la línea de teletipo virtual (VTY).
Las organizaciones también deben actualizar los dispositivos de red con las últimas versiones de firmware, cambiar todas las contraseñas y claves si existe la preocupación de que una sola contraseña se haya visto comprometida, realizar verificaciones periódicas de archivos y memoria y monitorear el firmware para detectar cambios. Estados Unidos y Japón emitieron advertencias sobre enrutadores Cisco comprometidos, pero las técnicas descritas en el aviso conjunto podrían adaptarse fácilmente a otras marcas conocidas de equipos de red.
aprender más:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a