Staatlich geförderte Hacker sind bei Routern großer Marken und anderen Netzwerkgeräten nichts Neues mehr. Eine bekannte chinesische Cyberkriminalitätsgruppe namens „BlackTech“ nimmt Cisco-Router aktiv ins Visier, um sensible Daten auszuschleusen. Die US-amerikanische National Security Agency (NSA), das Federal Bureau of Investigation (FBI) und die Cybersecurity and Infrastructure Security Agency (CISA) haben zusammen mit der japanischen Polizei und den Cybersicherheitsbehörden eine gemeinsame Mitteilung herausgegeben, in der die Aktivitäten von BlackTech detailliert beschrieben und Empfehlungen zur Abmilderung der Folgen der Angriffe gegeben werden.

BlackTech, auch bekannt als Palmerworm, Temp.Overboard, CircuitPanda und RadioPanda, ist seit 2010 aktiv. Dem Bericht zufolge stammen diese Cyberkriminellen aus China und haben es in der Vergangenheit auf Organisationen wie Regierung, Industrie, Medien, Elektronik, Telekommunikation und Verteidigungsunternehmen in den Vereinigten Staaten und Ostasien abgesehen.

Dieser Cyber-Akteur ist auf die Entwicklung maßgeschneiderter Malware und „benutzerdefinierter Persistenzmechanismen“ spezialisiert, um beliebte Router-Marken zu kompromittieren. Die USA und Japan warnen davor, dass diese maßgeschneiderten Schadprogramme gefährliche Funktionen wie die Deaktivierung der Protokollierung, den Missbrauch vertrauenswürdiger Domänenbeziehungen und die Gefährdung vertraulicher Daten umfassen. Die Warnung enthält eine Liste spezifischer Malware-Stämme wie BendyBear, Bifrose, SpiderPig und WaterBear, die zum Angriff auf Windows-, Linux- und sogar FreeBSD-Betriebssysteme verwendet werden.

Das Advisory liefert keine Hinweise darauf, welche Methode BlackTech verwendet hat, um sich zunächst Zugriff auf das Gerät des Opfers zu verschaffen. Dazu könnten häufig gestohlene Zugangsdaten oder sogar eine unbekannte, „sehr ausgefeilte“ Zero-Day-Sicherheitslücke gehören. Einmal drinnen, missbrauchen Cyberkriminelle die Cisco IOS-Befehlszeilenschnittstelle (CLI), um die offizielle Router-Firmware durch ein kompromittiertes Firmware-Image zu ersetzen.

Der Hinweis weist darauf hin, dass der Prozess mit der Änderung der Firmware im Speicher durch „Hot Patching“-Technologie beginnt, die den Einstiegspunkt darstellt, der für die Installation eines modifizierten Bootloaders und einer modifizierten Firmware erforderlich ist. Nach der Installation kann die geänderte Firmware die Sicherheitsfunktionen des Routers umgehen, den Hintertürzugriff ermöglichen, keine Spuren in Protokollen hinterlassen und Einschränkungen der Zugriffskontrollliste (ACL) umgehen.

Um die böswilligen Aktivitäten von BlackTech zu erkennen und zu vereiteln, wird Unternehmen und Organisationen empfohlen, einige „beste Schadensbegrenzungspraktiken“ zu befolgen. IT-Mitarbeiter sollten ausgehende Verbindungen deaktivieren, ein- und ausgehende Verbindungen überwachen, den Zugriff einschränken und Protokolle überwachen, indem sie den Konfigurationsbefehl „transportoutputnone“ auf die VTY-Leitung (Virtual Teletype) anwenden.

Unternehmen sollten außerdem Netzwerkgeräte mit den neuesten Firmware-Versionen aktualisieren, alle Passwörter und Schlüssel ändern, wenn Bedenken bestehen, dass ein einzelnes Passwort kompromittiert wurde, regelmäßige Datei- und Speicherüberprüfungen durchführen und die Firmware auf Änderungen überwachen. Die Vereinigten Staaten und Japan haben vor kompromittierten Cisco-Routern gewarnt, die in der gemeinsamen Empfehlung beschriebenen Techniken könnten jedoch problemlos auf Netzwerkgeräte anderer bekannter Marken übertragen werden.

Erfahren Sie mehr:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a