В Японии и США предупредили о попытках китайских хакеров взломать маршрутизаторы Cisco
Изображение: Malte Schmidt (unsplash)
Представители японских и американских правоохранительных органов, в сотрудничестве с национальными Центрами по информационной безопасности двух стран предупредили о том, что хакеры из китайской группировки Black Tech пытаются взломать сетевые устройства. Их цель состоит в установке специальных бэкдоров для получения доступа к различным корпоративным сетям, сообщает Bleeping Computer.
Соответствующий отчёт был выпущен совместными усилиями ФБР, АНБ, CISA вместе с японским национальным Центром по кибербезопасности и японской полицией.
В документе подробно рассматривается деятельность государственно спонсируемой хакерской группировки Black Tech, цель которой заключается во взломе сетевых устройств международных организаций для доступа к внутренним сетям штаб-квартир западных корпораций.
В уведомлении ФБР особо отмечено, что хакеры из Black Tech используют специализированное и регулярно обновляемое вредоносное ПО, чтобы оставлять бэкдоры в сетевых устройствах. Эти бэкдоры сохраняют первоначальный доступ к сетям и позволяют красть конфиденциальные данные путем перенаправления трафика на серверы, которые контролируются злоумышленниками. Особенно в ФБР обеспокоены тем, что вредоносное ПО, используемое китайскими хакерами, часто подписывается с применением украденных сертификатов подписи кода. Это серьезно усложняет их выявление стандартными средствами защиты.
Воспользовавшись украденными данными администратора, киберпреступники компрометируют различные марки и модели маршрутизаторов, что позволяет им перемещаться по целевой сети. Особое внимание, как говорится в заявлении американских госструктур, китайские хакеры уделяют маршрутизаторам компании Cisco. Там они используют специальные пакеты TCP и UDP для активации и деактивации бэкдоров, что позволяет им избегать обнаружения и активировать бэкдоры только тогда, когда это им нужно.
Кроме того, в ФБР заявили, что хакеры внедряют изменения в память устройств Cisco, обходя функции проверки подписи Cisco ROM Monitor. Этот метод позволяет киберпреступникам загружать модифицированные прошивки с предварительно установленными бэкдорами, что обеспечивает им несанкционированный доступ к устройствам.
ⓘ×16+. Реклама. Рекламодатель: ПАО «МегаФон», ИНН: 7812014560 Erid: LjN8KDpg8
Источник: cisoclub.ru