▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

I cinesi di BlackTech violano il firmware dei router

Il gruppo cinese BlackTech è in grado di violare i router di molte imprese e modificarne il firmware per nascondere i suoi attacchi

Tecnologie/Scenari

Diverse agenzie governative di sicurezza statunitensi e giapponesi, tra cui NSA e FBI, hanno congiuntamente segnalato che un threat actor cinese denominato BlackTech ha - e sta attivamente sfruttando - la capacità di modificare il firmware di router comunemente usati nelle imprese, in modo tale da conquistare l'accesso diretto alle sedi principali delle aziende che ha messo nel suo mirino.

BlackTech è un gruppo di threat actor noti anche come Palmerworm, Temp.Overboard, Circuit Panda e Radio Panda. È attivo dal 2010 e tradizionalmente attacca aziende e organizzazioni pubbliche statunitensi e dell'Est asiatico. Lo fa sviluppando malware mirati, per Windows come per Linux, che aggiorna costantemente in modo che non vengano riconosciuti dai software di cybersecurity.

I malware e le tecniche di attacco sviluppate da BlackTech permettono al gruppo di entrare nelle reti delle aziende bersaglio e di conquistarvi una prima posizione. A questo punto gli hacker ostili cercano di acquisire un accesso da amministratore ai dispositivi periferici della rete aziendale, tipicamente appliance di rete e router di fascia medio-bassa.Con questo accesso riescono a modificare il firmware dei router a piacimento, cosa che in sintesi permette loro di "mimetizzare" le proprie azioni all'interno del traffico di rete dell'impresa e di muoversi liberamente nell'infrastruttura globale dell'azienda. Raggiungendo anche le sue sedi centrali, che sono il boccone più ghiotto.

Il gruppo BlackTech, spiega il report delle agenzie di cybersecurity, è riuscito nel tempo a violare vari modelli di varie marche di router. L'unico esempio concreto fatto è però quello di alcuni router Cisco con firmware IOS, che possono essere compromessi in modo da creare una backdoor a cui accedere liberamente e continuativamente.

Il report scende nei dettagli tecnici di cosa può fare BlackTech prima e dopo la violazione di un router Cisco e del suo firmware. Indica anche alcune operazioni che si possono eseguire per rilevare gli attacchi di BlackTech e per difendersi. Anche se, in sintesi, queste operazioni riguardano il monitoraggio costante del traffico di rete e dei log dei router, alla ricerca di indizi di comportamenti sospetti.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter