Спонсорираните от държавата хакери, които компрометират рутери и друго мрежово оборудване на големи марки вече не са новост.

Добре позната китайска хакерска групировка, известна като „BlackTech“ активно се насочва към рутери на Cisco с цел ексфилтрация (кражба) на чувствителни данни. Американската разузнавателна агенция NSA, ФБР и Агенцията за киберсигурност и инфраструктурна сигурност (CISA), заедно с японската полиция и органите за киберсигурност публикуваха съвместна консултация, в която подробно се описват дейностите на „BlackTech„ и дадоха препоръки за смекчаване на атаките.

Известни също като Palmerworm, Temp.Overboard, Circuit Panda и Radio Panda – екипът на BlackTech е активен от 2010 година насам. В консултацията се казва, че киберпрестъпниците са пряко спонсорирани от китайската комунистическа диктатура и че в миналото са се насочвали към организации от правителствения сектор, промишлеността, медиите, електрониката, телекомуникациите и отбранителните контрактори в САЩ и Източна Азия.

Тяхнота сила е разработването на персонализиран зловреден софтуер, който да компрометира популярни марки рутери. Тези персонализирани зловредни програми включват опасни функции за деактивиране на регистрирането, злоупотреба с отношенията с доверени домейни и компрометиране на чувствителни данни, предупреждават САЩ и Япония. Консултацията включва списък на конкретни щамове на зловреден софтуер като BendyBear, Bifrose, SpiderPig и WaterBear, които се използват за атакуване на операционни системи Windows, Linux и дори FreeBSD.

Консултацията не дава никаква представа за методите, използвани от „BlackTech“ за получаване на първоначален достъп до устройствата на жертвите, които може да включват общи откраднати идентификационни данни или дори някаква неизвестна, „изключително сложна“ уязвимост в сигурността от типа „нулев ден“. Когато проникнат в системата, киберпрестъпниците използват интерфейса на командния ред (CLI) на Cisco IOS, за да заменят официалния фърмуер на рутера с негов компрометиран образ.

Процесът започва, когато фърмуерът се модифицира в паметта чрез техниката „hot patching„, което представлява входната точка, необходима за инсталиране на модифициран „bootloader“ и модифициран фърмуер. След като инсталацията бъде извършена, модифицираният фърмуер може да заобиколи функциите за сигурност на маршрутизатора и да даде възможност за достъп през „задна вратичка“, която не оставя следи в регистрите и избягва ограниченията на списъка за контрол на достъпа (ACL).

За да се открият и осуетят злонамерените действия на „BlackTech“ се препоръчва компаниите и организациите да следват „най-добри практики за смекчаване на последиците“. ИТ персоналът трябва да деактивира изходящите връзки, като приложи конфигурационната команда „transport output none“ към линиите на виртуалния телетип (VTY), да следи както входящите, така и изходящите връзки, да ограничава достъпа и да следи логовете.

Организациите трябва също така да обновят мрежовите устройства с най-новите версии на фърмуера, да сменят всички пароли и ключове, когато има опасения, че една парола е била компрометирана, периодично да извършват проверка на файловете и паметта и да следят за промени във фърмуера. САЩ и Япония предупреждават за компрометирани маршрутизатори на Cisco, но техниките, описани в съвместната консултация могат лесно да бъдат адаптирани към други добре познати марки мрежови устройства.