Amerikalı ve Japon yetkililer, BlackTech olarak bilinen Çinli aktörlerin, zayıf yönetici kimlik bilgileri ve değiştirilmiş donanım yazılımı aracılığıyla Cisco birimlerini seçerek yönlendiricileri ele geçirdiği konusunda uyarıyorlar.
Cisco, saldırılarda herhangi bir güvenlik açığı olduğuna dair hiçbir kanıt bulunmadığını söyleyerek yanıt verdi.
Uyarı, Amerika Ulusal Güvenlik Ajansı (NSA), Federal Soruşturma Bürosu (FBI), Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Japonya Ulusal Polis Teşkilatı (NPA) ve Ulusal Olay Merkezi tarafından ortaklaşa yazılmıştır. Siber Güvenlik için Hazırlık ve Strateji (NISC).
CISA tarafından yayınlanan tavsiye niteliğindeki raporda, Palmerworm, Temp.Overboard, Circuit Panda veya Radio Panda adlarıyla da anılan BlackTech’in, “ABD’nin ordularını destekleyen kuruluşlar da dahil olmak üzere hükümet, sanayi, teknoloji, medya, elektronik ve telekomünikasyon sektörlerini hedef aldığı” belirtildi. ABD ve Japonya” ve 2010 yılından bu yana aktiftir.
Yöntemleri, bir kuruluşun uluslararası yan kuruluşları aracılığıyla bir ağa erişim sağlamak ve bu erişimi merkez ofis ağlarına yönlendirmek için kullanmaktır.
Raporda, uç cihazlardan ödün vererek işe başlayan BlackTech aktörlerinin daha sonra şube yönlendiricilerini hedef aldığı belirtildi.
Şube yönlendirici erişimi daha sonra “trafiği temsil etmek, kurumsal ağ trafiğine uyum sağlamak ve aynı kurumsal ağdaki diğer kurbanlara yönlendirmek” için kullanılır.
Grubun “çeşitli marka ve yönlendirici cihaz sürümlerini hedef aldığını ve bunlardan yararlandığını” söylerken, danışma belgesi analiz için Cisco ürünlerini öne çıkarıyor; BlackTech, Cisco donanım yazılımını kötü amaçlı yazılımla değiştirmek için yönetici erişimini kullanıyor.
BlackTech’in değiştirilmiş donanım yazılımı, saldırganların oturum açmadan cihaza kalıcı erişim sağlamasını ve yakalanmadan trafiği gözetlemelerini sağlayan bir SSH arka kapısı sağlar.
Gerektiğinde saldırganlar, muhtemelen Cisco’nun önyükleyici güvenlik özelliklerini atlamak için değiştirilmiş bir önyükleyici yüklemek için cihazlara erişimlerini de kullanırlar.
Cisco’nun yanıtı
Burada yayınlanan bir yanıta göre Cisco, tavsiyeden pek memnun görünmüyor.
Zayıf yönetici kimlik bilgilerinin “en yaygın” erişim vektörü olduğunu kaydeden şirket şunları ekledi: “Herhangi bir Cisco güvenlik açığının istismar edildiğine dair bir gösterge yok.
Şirket, “Saldırganların, yönetim düzeyinde yapılandırma ve yazılım değişiklikleri gerçekleştirmek için güvenliği ihlal edilmiş kimlik bilgilerini kullandığını” belirterek, modern ürünlerin güvenli önyükleme özelliklerinin “değiştirilmiş yazılım görüntülerinin yüklenmesine ve çalıştırılmasına izin vermediğini” de sözlerine ekledi.
Şirket, kullanıcılara bu blog yazısında açıklanan uygulamaları takip etmelerini tavsiye ediyor.