Un micrologiciel dissimulé permet à des pirates affiliés à l'État chinois de contrôler les routeurs à l'aide de "paquets magiques",

Selon un avis conjoint publié par les États-Unis et le Japon

Un avis de sécurité publié mercredi par les États-Unis et le Japon allègue que des pirates informatiques liés à la Chine s'introduisent dans les dispositifs de réseau, notamment les routeurs, pour installer des micrologiciels personnalisés. Cette brèche leur permettrait ensuite d'accéder aux réseaux d'entreprises, espionner, voler la propriété intellectuelle et d'autres données sensibles. L'avis de sécurité indique que les secteurs les plus ciblés par les pirates sont le gouvernement, l'industrie, les médias, la technologie, l'électronique et l'industrie de la défense. L'entité à l'origine de la menace est connue sous le nom de BlackTech et les routeurs Cisco seraient spécifiquement visés.

L'avis de sécurité a été publié par les services américains - tels que le FBI, la NSA, la CISA, la NISC (cybersécurité) - en collaboration avec la police japonaise (NPA). Il explique que BlackTech (alias Palmerworm, Circuit Panda et Radio Panda) est un groupe APT (advanced persistent threat) chinois parrainé par l'État, connu pour mener des attaques de cyberespionnage contre des entités japonaises, taïwanaises et hongkongaises depuis au moins 2010. Selon les auteurs de l'avis de sécurité, l'acteur de la menace, en l'occurrence BlackTech, obtient d'une manière ou d'une autre des identifiants d'administrateur pour les dispositifs réseau utilisés par les filiales.

À travers cet accès, BlackTech installe des microprogrammes malveillants personnalisés et régulièrement mis à jour qui peuvent être déclenchés avec des "paquets magiques" pour effectuer des tâches spécifiques. (Les paquets magiques sont des trames réseau spécialement conçues pour sortir un ordinateur d'un état d'économie d'énergie.) Les pirates utilisent ensuite le contrôle de ces appareils pour infiltrer les réseaux des entreprises qui entretiennent des relations de confiance avec les filiales ayant fait l'objet de la violation. Une fois le réseau infiltré, les pirates volent les données en redirigeant le trafic vers des serveurs contrôlés par l'attaquant.


L'avis de sécurité signale que les logiciels malveillants personnalisés sont parfois signés à l'aide de certificats de signature de code volés, ce qui les rend plus difficiles à détecter par les logiciels de sécurité. Le microprogramme modifié permet aux auteurs de la menace de dissimuler les changements de configuration et l'historique des commandes exécutées. Il permet également aux pirates de désactiver la journalisation sur un appareil compromis pendant qu'ils se livrent activement à des opérations malveillantes. Un extrait de l'avis de sécurité explique le déroulement du mécanisme comme suit :

L'avis met l'accent sur le matériel Cisco, mais note que les espions pourraient utiliser des techniques similaires pour compromettre l'intégrité d'autres équipements de réseau. Dans le cas des routeurs Cisco, les chercheurs ont observé que les pirates activaient et désactivaient un micrologiciel malveillant SSH en utilisant des paquets TCP ou UDP spécialement conçus qui sont envoyés aux appareils. Cette méthode permet aux attaquants d'échapper à la détection et de n'activer le microprogramme malveillant que lorsque cela est nécessaire. Les acteurs de la menace ont également été observés en train de patcher la mémoire des appareils Cisco.

Le but serait de contourner les fonctions de validation des signatures du Cisco ROM Monitor. Dans le cas des routeurs Cisco piratés, les pirates modifient également les politiques EEM (Embedded Event Manager) utilisées pour l'automatisation des tâches, en supprimant certaines chaînes de caractères des commandes légitimes afin de bloquer leur exécution et d'entraver l'analyse médico-légale. Un porte-parole de Cisco a déclaré : « Cisco a pris connaissance de l'avis conjoint de cybersécurité (CSA) du 27 septembre, qui détaille les activités des cyberacteurs de...