Các tin tặc được nhà nước bảo trợ giờ đây không có gì mới đối với bộ định tuyến thương hiệu lớn và các thiết bị mạng khác. Một nhóm tội phạm mạng nổi tiếng của Trung Quốc có tên "BlackTech" đang tích cực nhắm mục tiêu vào các bộ định tuyến của Cisco để lấy cắp dữ liệu nhạy cảm. Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), Cục Điều tra Liên bang (FBI) và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA), cùng với cảnh sát và cơ quan an ninh mạng Nhật Bản, đã ban hành một tư vấn chung nêu chi tiết các hoạt động của BlackTech và đưa ra các khuyến nghị để giảm thiểu hậu quả của các cuộc tấn công.
BlackTech, còn được gọi là Palmerworm, Temp.Overboard, CircuitPanda và RadioPanda, đã hoạt động từ năm 2010. Báo cáo cho biết những tội phạm mạng này có nguồn gốc từ Trung Quốc và trước đây đã nhắm mục tiêu vào các tổ chức bao gồm các nhà thầu chính phủ, công nghiệp, truyền thông, điện tử, viễn thông và quốc phòng ở Hoa Kỳ và Đông Á.
Kẻ tấn công mạng này chuyên phát triển phần mềm độc hại tùy chỉnh và "cơ chế tồn tại tùy chỉnh" để xâm phạm các thương hiệu bộ định tuyến phổ biến. Hoa Kỳ và Nhật Bản cảnh báo rằng các chương trình độc hại được tạo riêng này bao gồm các tính năng nguy hiểm như vô hiệu hóa tính năng ghi nhật ký, lạm dụng các mối quan hệ miền đáng tin cậy và xâm phạm dữ liệu nhạy cảm. Cảnh báo bao gồm danh sách các chủng phần mềm độc hại cụ thể, chẳng hạn như BendyBear, Bifrose, SpiderPig và WaterBear, được sử dụng để tấn công các hệ điều hành Windows, Linux và thậm chí cả FreeBSD.
Tư vấn không cung cấp bất kỳ manh mối nào về phương pháp mà BlackTech đã sử dụng để giành quyền truy cập ban đầu vào thiết bị của nạn nhân, có thể bao gồm thông tin xác thực bị đánh cắp thông thường hoặc thậm chí một số lỗ hổng bảo mật 0 ngày "rất tinh vi" không xác định. Khi vào bên trong, tội phạm mạng lạm dụng giao diện dòng lệnh (CLI) của Cisco IOS để thay thế chương trình cơ sở chính thức của bộ định tuyến bằng hình ảnh chương trình cơ sở bị xâm phạm.
Tư vấn cảnh báo rằng quá trình này bắt đầu bằng việc sửa đổi chương trình cơ sở trong bộ nhớ thông qua công nghệ "vá nóng", đây là điểm bắt buộc để cài đặt bộ tải khởi động đã sửa đổi và chương trình cơ sở đã sửa đổi. Sau khi cài đặt, chương trình cơ sở đã sửa đổi có thể bỏ qua các tính năng bảo mật của bộ định tuyến, cho phép truy cập cửa sau, không để lại dấu vết trong nhật ký và tránh các hạn chế của danh sách kiểm soát truy cập (ACL).
Để phát hiện và ngăn chặn các hoạt động độc hại của BlackTech, các công ty và tổ chức nên tuân theo một số "phương pháp giảm thiểu tốt nhất". Nhân viên CNTT nên vô hiệu hóa các kết nối gửi đi, giám sát các kết nối gửi đến và gửi đi, hạn chế quyền truy cập và giám sát nhật ký bằng cách áp dụng lệnh cấu hình "transportoutputnone" cho đường dây teletype ảo (VTY).
Các tổ chức cũng nên nâng cấp thiết bị mạng lên phiên bản chương trình cơ sở mới nhất, thay đổi tất cả mật khẩu và khóa nếu có lo ngại rằng một mật khẩu đã bị xâm phạm, thực hiện xác minh tệp và bộ nhớ thường xuyên cũng như theo dõi các thay đổi của chương trình cơ sở. Hoa Kỳ và Nhật Bản đã đưa ra cảnh báo về các bộ định tuyến của Cisco bị xâm nhập, nhưng các kỹ thuật được mô tả trong khuyến cáo chung có thể dễ dàng được điều chỉnh cho phù hợp với các thương hiệu thiết bị mạng nổi tiếng khác.
Tìm hiểu thêm:
https://www.c isa.gov/news-events/cybersecurity-advisories/aa23-270a