Le agenzie di intelligence e cybersicurezza di Stati Uniti e Giappone hanno pubblicato un avviso congiunto per illustrare le tecniche utilizzate dal gruppo BlackTech (affiliato al Partito Comunista Cinese) durante le recenti attività di spionaggio. I cybercriminali sono in grado di sostituire il firmware di alcuni router Cisco con una versione infetta che permette l’accesso remoto tramite backdoor.
Backdoor nei router, Cisco minimizza
I bersagli preferiti dal gruppo BlackTech sono governi e aziende che operano in settori strategici (telecomunicazioni, militare, industriale). Durante i recenti attacchi sono riusciti ad entrare nelle reti interne di alcune aziende statunitensi e giapponesi, ottenere i privilegi di amministratore e modificare il firmware dei router Cisco.
Le varie operazioni vengono eseguite a linea di comando. Per aggirare la verifica della firma, i cybercriminali installano e modificano un vecchio firmware legittimo in memoria. Successivamente scaricano e installano sul router un bootloader modificato e il firmware contenente una backdoor SSH. Quest’ultimo permette di nascondere le modifiche alla configurazione e la cronologia dei comandi, e di disattivare la funzione di logging.
La backdoor SSH viene attivata o disattivata da remoto attraverso l’invio di speciali pacchetti TCP o UDP. Ciò permette di nascondere le attività di spionaggio. Sono state inoltre cambiate le policy EMM (Embedded Event Manager) per impedire l’esecuzione dei comandi usati per l’analisi forense.
Dopo aver esaminato il report, Cisco ha comunicato che l’accesso alle reti è avvenuto tramite credenziali di amministratore deboli o rubate, quindi non è stata sfruttata nessuna vulnerabilità dei ruoter. Il produttore sottolinea inoltre che i modelli più recenti offrono la funzionalità Secure Boot, quindi non permettono di installare un firmware modificato.