لم يعد المتسللون الذين ترعاهم الدولة أمرًا جديدًا الآن فيما يتعلق بأجهزة التوجيه ذات العلامات التجارية الكبرى ومعدات الشبكات الأخرى. تستهدف مجموعة مجرمين إلكترونيين صينية معروفة تسمى "BlackTech" بشكل نشط أجهزة توجيه Cisco لتصفية البيانات الحساسة. أصدرت وكالة الأمن القومي الأمريكية (NSA)، ومكتب التحقيقات الفيدرالي (FBI)، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، جنبًا إلى جنب مع الشرطة اليابانية وسلطات الأمن السيبراني، استشارة مشتركة توضح بالتفصيل أنشطة BlackTech وتقدم توصيات للتخفيف من عواقب الهجمات.
تنشط BlackTech، المعروفة أيضًا باسم Palmerworm وTemp.Overboard وCircuitPanda وRadioPanda، منذ عام 2010. ويشير التقرير إلى أن هؤلاء المجرمين الإلكترونيين ينحدرون من الصين واستهدفوا تاريخيًا منظمات بما في ذلك الحكومة والصناعة والإعلام والإلكترونيات والاتصالات السلكية واللاسلكية ومقاولي الدفاع في الولايات المتحدة وشرق آسيا.
يتخصص هذا الممثل السيبراني في تطوير برامج ضارة مخصصة و"آليات استمرارية مخصصة" لتسوية العلامات التجارية الشهيرة لأجهزة التوجيه. تحذر الولايات المتحدة واليابان من أن هذه البرامج الضارة المصممة خصيصًا تتضمن ميزات خطيرة مثل تعطيل التسجيل، وإساءة استخدام علاقات النطاق الموثوق بها، وتهديد البيانات الحساسة. يتضمن التحذير قائمة بسلالات محددة من البرامج الضارة، مثل BendyBear وBifrose وSpiderPig وWaterBear، المستخدمة لمهاجمة أنظمة التشغيل Windows وLinux وحتى FreeBSD.
لا يقدم الاستشارة أي أدلة حول الطريقة التي استخدمتها BlackTech للوصول الأولي إلى جهاز الضحية، والتي يمكن أن تتضمن بيانات اعتماد مسروقة شائعة أو حتى بعض الثغرات الأمنية غير المعروفة "المعقدة للغاية". بمجرد الدخول، يسيء مجرمو الإنترنت استخدام واجهة سطر أوامر Cisco IOS (CLI) لاستبدال البرنامج الثابت الرسمي لجهاز التوجيه بصورة برنامج ثابت مخترق.
ويحذر التحذير من أن العملية تبدأ بتعديل البرنامج الثابت في الذاكرة من خلال تقنية "التصحيح السريع"، وهي نقطة الدخول المطلوبة لتثبيت أداة تحميل التشغيل المعدلة والبرامج الثابتة المعدلة. بمجرد التثبيت، يمكن للبرنامج الثابت المعدل تجاوز ميزات أمان جهاز التوجيه، وتمكين الوصول إلى الباب الخلفي، وعدم ترك أي أثر في السجلات، والتحايل على قيود قائمة التحكم في الوصول (ACL).
من أجل اكتشاف أنشطة BlackTech الضارة وإحباطها، ننصح الشركات والمؤسسات باتباع بعض "أفضل ممارسات التخفيف". يجب على موظفي تكنولوجيا المعلومات تعطيل الاتصالات الصادرة ومراقبة الاتصالات الواردة والصادرة وتقييد الوصول ومراقبة السجلات من خلال تطبيق أمر التكوين "transportoutputnone" على خط المبرقة الافتراضية (VTY).
يجب على المؤسسات أيضًا ترقية أجهزة الشبكة بأحدث إصدارات البرامج الثابتة، وتغيير جميع كلمات المرور والمفاتيح إذا كانت هناك مخاوف من تعرض كلمة مرور واحدة للاختراق، وإجراء التحقق المنتظم من الملفات والذاكرة، ومراقبة البرامج الثابتة بحثًا عن التغييرات. أصدرت الولايات المتحدة واليابان تحذيرات بشأن أجهزة توجيه Cisco المعرضة للخطر، ولكن التقنيات الموضحة في الاستشارة المشتركة يمكن تكييفها بسهولة مع العلامات التجارية الأخرى المعروفة لمعدات الشبكات.
يتعلم أكثر:
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a