Dalış Özeti:
- ABD ve Japon yetkililer Devlet destekli bir siber tehdit grubunu uyardıBlackTech olarak tanımlanan şirket, her iki ülkedeki şirketlere sızmak için Cisco ve diğer yönlendiricilerdeki ürün yazılımını kötüye kullanıyor.
- Yetkililer, Çin Halk Cumhuriyeti ile bağlantılı olan grubun, bu şirketlerin uluslararası yan kuruluşlarına sızmak ve şüphelenmeyen firmaların ana merkez içindeki bilgisayar sistemlerine güvenilir erişim sağlamak için özel kötü amaçlı yazılımlar ve arazide yaşama teknikleri kullandığını söyledi.
- Siber Güvenlik ve Altyapı Güvenlik Ajansı, FBI ve Ulusal Güvenlik Ajansı, Çarşamba günü Japonya Ulusal Polis Teşkilatı ve Japonya Ulusal Olaya Hazırlık ve Siber Güvenlik Stratejisi Merkezi ile ortak bir danışma belgesinde uyarıyı yayınladı.
Dalış Bilgisi:
BlackTech, 2010 yılından bu yana her iki ülkede de savunma sanayini destekleyen şirketlere aktif olarak saldırıyor.
Bilgisayar korsanları, tespit edilmekten kaçınmak amacıyla Cisco yönlendiricilerini kötüye kullanmak için özel kötü amaçlı yazılım kullanarak, geçmişte ABD ve Japon şirketlerinin uluslararası yan kuruluşlarında bulunan ürün yazılımlarını hedef aldı.
Mandiant yetkilileri, tehdit grubunun Japonya’daki medya ve teknoloji şirketlerini ve son olarak Tayvan’daki kuruluşları hedef aldığını gözlemlediklerini söyledi.
Google Cloud birimi Mandiant Intelligence’ın baş analisti John Hultquist, e-posta yoluyla şunları söyledi: “Bu etkinlik, Çin’in giderek daha karmaşık hale gelen siber operasyonlarının bir başka örneğidir.” “Çin, hedeflere yönelik yüksek sesli, doğrudan saldırılar yerine, arzu edilen hedeflere sızmak için kuruluşlar arasındaki güvenilir bağlantıları kötüye kullanmak gibi yaratıcı yöntemler kullanıyor.”
BlackTech, Çin’deki en yetenekli tehdit gruplarından biri olarak kabul ediliyor ancak yönlendiricilerin kötüye kullanılması onlar için biraz yeni bir teknik. Broadcom’un bir parçası olan Symantec’in baş istihbarat analisti Dick O’Brien.
O’Brien, Cybersecurity Dive’a şunları söyledi: “Geçmişte gördüğümüz şey, özel kötü amaçlı yazılımların, önceden kullanılmış kötü amaçlı yazılımların ve karadan yaşama taktiklerinin bir birleşimiydi.” “Fakat bu yönlendirme tekniği onların cephaneliğinde yeni bir şey.”
Broadcom’un sahip olduğu Grubun faaliyetlerini uzun yıllar takip ettim2019 ve 2020’de Japonya, Tayvan ve diğer ülkelerdeki casusluk kampanyaları dahil.
BlackTech, hedeflenen şirketlerin işletim sistemlerine erişmek için BendyBear, Flagpro, SpiderPig ve diğer aileleri içeren uzaktan erişim araçlarını ve özel kötü amaçlı yazılımları kullandı. 2022’de yayınlanan bir CISA tavsiyesine göre.
Grup, CISA tavsiyesine göre belirli Cisco IOS tabanlı yönlendiricileri hedef aldı ve mevcut donanım yazılımını değiştirmek için kötü amaçlı yazılım kullandı.
Cisco Çarşamba günü yaptığı açıklamada, bilgisayar korsanlarının erişim sağlamak için çoğunlukla çalıntı veya zayıf idari kimlik bilgilerini kullandığını söyledi. saldırılarla ilgili tavsiyeler. Cisco, bilgisayar korsanlarının mevcut güvenlik açıklarını kötüye kullandıklarına dair hiçbir belirti olmadığını iddia ediyor, ancak modern Cisco cihazlarının, değiştirilmiş yazılım görüntülerini yükleme ve yürütme yeteneğini engelleyen güvenli önyükleme yeteneklerine sahip olduğunu söyledi.
CISA daha önce Çin bağlantılı tehdit aktörlerinin Cisco cihazlarındaki CVE-2018-0171 olarak listelenen eski bir uzaktan kod yürütme güvenlik açığından yararlandığını belirtmişti.
Bir Cisco sözcüsü, e-posta yoluyla yaptığı açıklamada, saldırıların “şirketlerin ağ cihazlarını güncelleme, yama yapma ve güvenli bir şekilde yapılandırma konusundaki acil ihtiyacının – güvenlik hijyenini korumaya ve genel ağ dayanıklılığına ulaşmaya yönelik kritik adımların” altını çizdiğini söyledi.
BlackTech ayrıca kötü amaçlı yükleri imzalamak için çalıntı kod sertifikaları kullanıyor ve bu da güvenlik yazılımının tespitini zorlaştırabiliyor. Bir Cisco sözcüsü, çalınan sertifikaların şirketin cihazlarına yönelik saldırılarla bağlantılı olduğuna dair hiçbir kanıt bulunmadığını söyledi.
Cisco yakın zamanda bir öncülük yaptı şirketler koalisyonu Kötü amaçlı saldırılar başlatmak amacıyla yönlendiriciler ve anahtarlar da dahil olmak üzere ağ cihazlarının artan kullanımıyla mücadele etmek.