Les forces de l’ordre et les agences de cybersécurité américaines et japonaises mettent en garde contre les pirates chinois « BlackTech » qui piratent les appareils réseau pour installer des portes dérobées personnalisées pour accéder aux réseaux d’entreprise.

Le rapport conjoint émane du FBI, de la NSA, de la CISA et des organismes japonais NISC (cybersécurité) et NPA (police), qui expliquent que le groupe de piratage parrainé par l’État pirate les dispositifs réseau des filiales internationales pour pivoter vers les réseaux des sièges sociaux des entreprises.

BlackTech (alias Palmerworm, Circuit Panda et Radio Panda) est un groupe chinois APT (menace persistante avancée) parrainé par l’État, connu pour mener des attaques de cyberespionnage contre des entités basées au Japon, à Taiwan et à Hong Kong depuis au moins 2010.

Les secteurs ciblés par BlackTech comprennent le gouvernement, l’industrie, la technologie, les médias, l’électronique, les télécommunications et l’industrie de la défense.

Logiciel malveillant personnalisé sur les appareils réseau

L’avis du FBI prévient que les pirates BlackTech utilisent des logiciels malveillants personnalisés et régulièrement mis à jour sur les périphériques réseau de porte dérobée, qui sont utilisés pour la persistance, l’accès initial aux réseaux et pour voler des données en redirigeant le trafic vers des serveurs contrôlés par les attaquants.

L’avis prévient que les logiciels malveillants personnalisés sont parfois signés à l’aide de certificats de signature de code volés, ce qui rend leur détection plus difficile par les logiciels de sécurité.

En exploitant les informations d’identification d’administrateur volées, les attaquants compromettent un large éventail de marques, de modèles et de versions de routeurs, établissent la persistance et se déplacent latéralement sur le réseau.

Comme l’explique le joint avis de cybersécurité:

« Plus précisément, après avoir pris pied dans un réseau cible et obtenu un accès administrateur aux appareils périphériques du réseau, les cyberacteurs BlackTech modifient souvent le micrologiciel pour masquer leur activité sur les appareils périphériques afin de maintenir davantage la persistance dans le réseau. Dans une organisation, les acteurs BlackTech ciblent les routeurs de succursales (généralement des appareils plus petits utilisés dans les succursales distantes pour se connecter au siège social de l’entreprise) et abusent ensuite de la relation de confiance des routeurs de succursales au sein du réseau d’entreprise ciblé. Les acteurs BlackTech utilisent ensuite la branche publique compromise. routeurs dans le cadre de leur infrastructure pour proxyer le trafic, se fondre dans le trafic du réseau d’entreprise et pivoter vers d’autres victimes sur le même réseau d’entreprise.

Le micrologiciel modifié permet aux acteurs malveillants de masquer les modifications de configuration et l’historique des commandes exécutées. Cela leur permet également de désactiver la journalisation sur un appareil compromis pendant qu’ils participent activement à des opérations malveillantes.

Pour les routeurs Cisco en particulier, les chercheurs ont observé que les attaquants activaient et désactivaient une porte dérobée SSH en utilisant des paquets TCP ou UDP spécialement conçus qui sont envoyés aux appareils. Cette méthode permet aux attaquants d’échapper à la détection et d’activer la porte dérobée uniquement lorsque cela est nécessaire.

Les auteurs de la menace ont également été observés en train de corriger la mémoire des appareils Cisco pour contourner les fonctions de validation de signature de Cisco ROM Monitor. Cela permet aux acteurs malveillants de charger un micrologiciel modifié préinstallé avec des portes dérobées qui permettent un accès non enregistré à l’appareil.

En cas de violation des routeurs Cisco, les pirates modifient également les politiques EEM utilisées pour l’automatisation des tâches, supprimant certaines chaînes des commandes légitimes pour bloquer leur exécution et entraver l’analyse médico-légale.

La création de logiciels malveillants personnalisés n’est pas nouvelle pour le groupe BlackTech APT, avec deux rapports de 2021 de NTT et Unit 42 soulignant l’utilisation de cette tactique par les acteurs malveillants.

Un plus vieux Rapport Trend Micro a spécifiquement mentionné la tactique consistant à compromettre les routeurs vulnérables pour les utiliser comme serveurs C2.

Recommandations de défense

L’avis conseille aux administrateurs système de surveiller les téléchargements non autorisés d’images de chargeur de démarrage et de micrologiciel ainsi que les redémarrages inhabituels de périphériques qui pourraient faire partie du chargement d’un micrologiciel modifié sur les routeurs.

Le trafic SSH observé sur le routeur doit également être traité avec une grande suspicion.

Les pratiques d’atténuation suivantes sont recommandées :

• Utilisez la commande « transport output none » pour empêcher les connexions externes indésirables.
• Supervisez le trafic entrant/sortant sur les appareils, en particulier les accès non autorisés, et séparez les systèmes administratifs avec des VLAN.
• Autorisez uniquement des adresses IP spécifiques pour les administrateurs réseau et suivez les tentatives de connexion.
• Passez à des appareils dotés d’un démarrage sécurisé avancé et donnez la priorité à la mise à jour des équipements obsolètes.
• Agissez rapidement pour modifier tous les mots de passe et clés lorsqu’une violation est suspectée.
• Examinez les journaux pour détecter des anomalies telles que des redémarrages inattendus ou des modifications de configuration.
• Utilisez la méthodologie NDI (Network Device Integrity) pour détecter les modifications non autorisées.
• Comparez régulièrement les enregistrements de démarrage et le micrologiciel aux versions fiables.

Cisco a également publié un avis de sécurité sur le sujet, soulignant que rien n’indique que BlackTech exploite une vulnérabilité de ses produits ou un certificat volé pour signer ses logiciels malveillants.

Cisco note également que la méthode d’attaque qui consiste à rétrograder le micrologiciel pour contourner les mesures de sécurité ne s’applique qu’aux produits anciens et existants.

Le ciblage des appareils réseau a connu une légère augmentation au cours de l’année écoulée, les acteurs de la menace alignés sur la Chine ciblant également les appareils réseau Fortinet, TP-Link et SonicWall avec des logiciels malveillants personnalisés.

Les États-Unis, le Royaume-Uni et Cisco ont mis en garde en avril contre les attaques contre les appareils Cisco iOS par le groupe de piratage russe APT28 (Fancy Bear, STRONTIUM), parrainé par l’État, qui a déployé des logiciels malveillants personnalisés pour voler des données et pivoter vers les appareils internes.

Étant donné que les appareils réseau de périphérie ne prennent généralement pas en charge les solutions de sécurité EDR (Endpoint Detection and Response), ils constituent des cibles privilégiées que les acteurs malveillants peuvent utiliser pour le vol de données et l’accès initial à un réseau.

« Il existe un thème récurrent : le cyberespionnage continu en Chine se concentre sur les appareils réseau, les appareils IOT, etc. qui ne prennent pas en charge les solutions EDR », a déclaré Charles Carmakal, directeur technique de Mandiant, à BleepingComputer en mai.

Par conséquent, les administrateurs réseau doivent installer tous les correctifs de sécurité disponibles sur les appareils périphériques dès qu’ils sont disponibles et ne pas exposer publiquement les consoles de gestion.