Çin devletine bağlı eski bir tehdit aktörü, ABD ve Japonya’daki çok uluslu kuruluşlara sızmak için Cisco yönlendiricilerini sessizce manipüle ediyor.
“BlackTech” (diğer adıyla Palmerworm, Temp.Overboard, Circuit Panda ve Radio Panda), kalıcılık oluşturmak ve daha küçük, uluslararası yan kuruluşlardan etkilenen kuruluşların genel merkezlerine geçiş yapmak için cihaz donanım yazılımını kendi kötü amaçlı sürümüyle değiştiriyor. Ulusal Güvenlik Ajansı’nın (NSA) yeni ortak siber güvenlik tavsiyesine göre bu kuruluşlar şu ana kadar hükümet, sanayi, teknoloji, medya, elektronik ve telekomünikasyon sektörlerini kapsıyor ve “ABD ve Japonya ordularını destekleyen kuruluşları” içeriyor. , FBI ve Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) yanı sıra Japon ulusal polisi ve siber güvenlik yetkilileri.
Tavsiye belgesi, Cisco yönlendiricilerini etkileyen herhangi bir spesifik CVE’nin ayrıntılarını içermemektedir. Bunun yerine, “Bu TTP yalnızca Cisco yönlendiricileriyle sınırlı değildir ve diğer ağ ekipmanlarında arka kapıları etkinleştirmek için benzer teknikler kullanılabilir” diye açıklıyor.
Cisco, Dark Reading’in yorum talebine henüz yanıt vermedi.
Enerji Bakanlığı’nın eski siber başkanı ve şu anda NetRise’ın CEO’su olan Tom Pace’e göre bu, uç güvenlikte daha yaygın bir soruna işaret ediyor. “Cisco, Juniper, Huawei, Arista’dan bir donanım yazılımı görüntüsü alırsak kim olduğu önemli değil” diyor. “Aynı sorunlar tüm cihaz üreticilerinde ve tüm sektörlerde devam ediyor.”
BlackTech Ağları Nasıl İhlal Ediyor?
Cisco yönlendiricileri, şirketin yüzyılın başında Çin’in ulusal İnternet sansür aygıtını (sözde “Büyük Güvenlik Duvarı”) oluşturmasına ilk yardım ettiğinden beri, tehlikeye ve IP hırsızlığına maruz kalıyor. BlackTech, 2010’dan bu yana geleneği bir adım daha ileri götürdü.
Grup, Windows, Linux ve FreeBSD işletim sistemlerine sızmak ve bu sistemlerde yer edinmek için 12 farklı özel kötü amaçlı yazılım ailesine sahiptir. Kod imzalama sertifikaları ile onlara meşruiyet havası verilir ve antivirüs tespitinden kaçınmak için sürekli olarak güncellenirler.
BlackTech, hedef ağlara sağlam bir şekilde yerleştikten sonra uç nokta tespitinden kaçınmak için NetCat kabukları, Güvenli Kabuk Protokolü (SSH) ve Uzak Masaüstü Protokolü (RDP) dahil olmak üzere arazide yaşama (LotL) tarzı araçlar kullanır.
BlackTech’in nihai hedefi, savunmasız ağ yönlendiricileri üzerinde yönetici ayrıcalıkları elde edene kadar hedef ağ içinde yükselmektir. Kendisini diğer tehdit aktörlerinden ayıran nokta burasıdır.
BlackTech Yönlendiricilerle Nasıl Oynar?
BlackTech özellikle, güvenliğin biraz daha gevşek olabileceği daha büyük kuruluşların daha küçük, uzak şubelerindeki yönlendiricileri, daha geniş ağ trafiğine uyum sağlamak ve potansiyel olarak kuruluş içindeki diğer kurbanlara yönelmek için bir kuruluşun birincil BT ağına olan bağlantılarını kullanarak yönlendiricileri hedefliyor.
Grup, yönlendiriciler üzerindeki kontrolü sağlamlaştırmak ve birçok kötü amaçlı etkinliğini gizlemek için bir sürüm düşürme saldırısı gerçekleştirir.
İlk olarak yönlendiricinin donanım yazılımının eski bir sürümünü yükler. Binarly CEO’su ve araştırma başkanı Alex Matrosov, Dark Reading’e yaptığı açıklamada, “Cisco, cihazda belirli ayrıcalıklara sahip herkesin işletim sistemi imajını ve donanım yazılımını düşürmesine izin veriyor.” dedi.
“Bu durumda kalıcılık kazanmak için, bir saldırganın cihaza kötü amaçlı kod dağıtacak şekilde ürün yazılımı görüntüsünü değiştirmek için bir kimlik doğrulama atlama güvenlik açığına ihtiyacı var” diye ekledi. Matrosov, karşılaştırılabilir bir örnek olarak Cisco Catalyst anahtarlarında “Orta” 6.8 CVSS puanlı bir hata olan CVE-2023-20082’ye işaret etse de, ortak tavsiyede belirli bir güvenlik açığından bahsedilmiyordu.
BlackTech daha sonra bellekteki eski bellenimi “sıcak yamalar” yaparak, kapatma işleminin yeniden başlatılmasına gerek kalmadan onu değiştirir ve bir önyükleyicinin ve yerleşik bir SSH arka kapısıyla kendi kötü amaçlı belleniminin kurulmasını sağlar.
Pace, henüz yeterince etkilenmemiş olanlar için bir benzetme sunuyor. “Bir bilgisayarda olduğunuzu ve bir tehdit aktörünün tüm Windows işletim sisteminizi değiştirdiğini ve kimsenin farkı bilmediğini düşünün. Bu çok çılgınca olurdu, değil mi?”
Ne yapalım
Danışmanlık, şirketlerin BlackTech’in TTP’lerine karşı önlem almak için atabileceği, ağ cihazlarıyla gelen ve giden bağlantıların izlenmesi, günlüklerin ve donanım yazılımındaki değişikliklerin gözden geçirilmesi ve dikkatli şifre hijyeni gibi belirli adımlar sunar. Ancak Pace’e göre bunlar yalnızca uç güvenliğinde daha derin bir soruna yönelik yara bantlarıdır.
“Dizüstü bilgisayarlara, masaüstü bilgisayarlara, sunuculara bakarsanız: Bu cihazlarda neler olup bittiğine ilişkin soruları çok net bir şekilde yanıtlayabilen teknolojiler olan çok sayıda görünürlük çözümümüz var. Ancak bu uç cihazlara aynı şekilde bakmıyoruz. , çünkü bunlarda kullanıcı yok ve bu nedenle bu cihazlar arasında aynı düzeyde izleme sağlamıyoruz” diye açıklıyor.
Cihaz üreticileri güvenliklerini önemli ölçüde yükseltmedikçe veya müşteriler geleneksel olarak gözden kaçırılan bu alana önemli ölçüde yatırım yapmadıkça, bu tür bir hikayenin kendini tekrar edeceğini düşünüyor.
“Bu on yıl sürecek bir sorun. En azından. Değilse muhtemelen 15, 20 yıl” diye öngörüyor.