BlackTech, des cyber-acteurs liés à la Chine, peuvent se cacher dans le micrologiciel d'un routeur

Les États-Unis et le Japon publient un avis de mise en garde contre leurs activités

La National Security Agency (NSA) des États-Unis, le Federal Bureau of Investigation (FBI) des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, la National Police Agency (NPA) du Japon et le National Center of Incident Readiness and Strategy for Cybersecurity (NISC) du Japon ont publié un avis conjoint de cybersécurité (CSA) afin de décrire en détail les activités des cyber-acteurs liés à la République populaire de Chine (RPC) et connus sous le nom de BlackTech.

BlackTech a démontré sa capacité à modifier le micrologiciel des routeurs sans être détecté et à exploiter les relations de confiance entre domaines des routeurs pour passer de filiales internationales à des sièges au Japon et aux États-Unis, qui sont les cibles principales. Les organismes auteurs de l'avis recommandent de mettre en œuvre les mesures d'atténuation décrites pour détecter cette activité et protéger les appareils contre les portes dérobées que les acteurs de BlackTech laissent derrière eux.

Les acteurs de BlackTech (alias Palmerworm, Temp.Overboard, Circuit Panda et Radio Panda) ont ciblé des secteurs gouvernementaux, industriels, technologiques, médiatiques, électroniques et de télécommunications, y compris des entités qui soutiennent les armées des États-Unis et du Japon. Les acteurs de BlackTech utilisent des logiciels malveillants personnalisés, des outils à double usage et des tactiques de survie, telles que la désactivation de la journalisation sur les routeurs, pour dissimuler leurs opérations. Cette CSA détaille les tactiques, techniques et procédures (TTP) de BlackTech, ce qui souligne la nécessité pour les multinationales d'examiner toutes les connexions des filiales, de vérifier l'accès et d'envisager la mise en œuvre de modèles de confiance zéro afin de limiter l'étendue d'une compromission potentielle de BlackTech.


Informations techniques

Contexte

Actifs depuis 2010, les acteurs BlackTech ont historiquement ciblé un large éventail d'organisations publiques et d'industries privées des États-Unis et de l'Asie de l'Est. Les TTP des acteurs de BlackTech comprennent le développement de logiciels malveillants personnalisés et de mécanismes de persistance sur mesure pour compromettre les routeurs. Ces TTP permettent aux acteurs de désactiver la journalisation et d'abuser des relations avec les domaines de confiance pour passer d'une filiale internationale à un réseau national.

TTP observables

Les cyberacteurs de BlackTech utilisent des charges utiles de logiciels malveillants personnalisés et des outils d'accès à distance (RAT) pour cibler les systèmes d'exploitation des victimes. Les acteurs ont utilisé une série de familles de logiciels malveillants personnalisés ciblant les systèmes d'exploitation Windows, Linux et FreeBSD. Les familles de logiciels malveillants personnalisées employées par BlackTech sont les suivantes :

• BendyBear
• Bifrose
• BTSDoor
• FakeDead (alias TSCookie)
• Flagpro
• FrontShell (module de téléchargement de FakeDead)
• IconDown
• PLEAD
• SpiderPig
• SpiderSpring
• SpiderStack
• WaterBear

Les acteurs de BlackTech mettent continuellement à jour ces outils afin d'échapper à la détection des logiciels de sécurité. Les acteurs utilisent également des certificats de signature de code volés pour signer les charges utiles malveillantes, ce qui les fait paraître légitimes et les rend donc plus difficiles à détecter par les logiciels de sécurité.

Les acteurs de BlackTech utilisent des TTP pour se fondre dans les activités normales du système d'exploitation et du réseau, ce qui leur permet d'échapper à la détection par les produits de détection et de réponse des points d'extrémité (EDR). Les méthodes courantes de persistance sur un hôte comprennent les shells NetCat, la modification du registre de la victime pour activer le protocole de bureau à distance (RDP) et le shell sécurisé (SSH). Les acteurs ont également utilisé SNScan pour l'énumération et un serveur de protocole de transfert de fichiers (FTP) local pour déplacer des données à travers le réseau de la victime.

Pivoter à partir des filiales internationales

Les acteurs BlackTech liés à la RPC ciblent les filiales internationales d'entreprises américaines et japonaises. Après avoir obtenu l'accès aux réseaux internes des filiales, les acteurs de BlackTech sont en mesure de passer des routeurs internes de confiance à d'autres filiales des entreprises et aux réseaux des sièges sociaux. Les acteurs de BlackTech exploitent les relations de confiance entre une victime établie et d'autres entités pour étendre leur accès aux réseaux cibles.

Plus précisément, après avoir pris pied dans un réseau cible et obtenu un accès d'administrateur aux périphériques du réseau, les cyberacteurs de BlackTech modifient souvent le micrologiciel pour dissimuler leur activité dans les périphériques afin de maintenir leur persistance dans le réseau. Pour étendre leur emprise à l'ensemble d'une organisation, les acteurs de BlackTech ciblent les routeurs de succursales - généralement des appareils plus petits utilisés dans les succursales éloignées pour se connecter au siège de l'entreprise - et abusent ensuite de la relation de confiance des routeurs de succursales au sein du réseau de l'entreprise ciblée. Les acteurs de BlackTech utilisent ensuite les routeurs de succursales publics compromis comme partie intégrante de leur infrastructure pour le trafic proxy, en se fondant dans le trafic du réseau de l'entreprise et en pivotant vers d'autres victimes sur le même réseau d'entreprise.

Maintien de l'accès par des portes dérobées furtives sur les routeurs

BlackTech a ciblé et exploité diverses marques et versions de routeurs. Les TTP contre les routeurs permettent aux acteurs de dissimuler les changements de configuration, de cacher les commandes et de désactiver la journalisation pendant que les acteurs de BlackTech mènent leurs opérations. Les acteurs de BlackTech ont compromis plusieurs routeurs Cisco en utilisant des variantes d'une porte dérobée de micrologiciel personnalisé. La fonctionnalité de la porte dérobée est activée et désactivée au moyen de paquets TCP ou UDP spécialement élaborés. Ce TTP ne se limite pas aux routeurs Cisco, et des techniques similaires pourraient être utilisées pour activer des portes dérobées dans d'autres équipements de réseau.

Dans certains cas, les acteurs de BlackTech remplacent le micrologiciel de certains routeurs basés sur Cisco IOS par un micrologiciel malveillant. Bien que les acteurs de BlackTech disposaient déjà de privilèges élevés sur le routeur pour remplacer le micrologiciel via l'exécution de la ligne de commande, le micrologiciel malveillant est utilisé pour établir un accès persistant par porte dérobée et obscurcir les activités malveillantes futures. Le micrologiciel modifié utilise une porte dérobée SSH intégrée, ce qui permet aux acteurs de BlackTech de conserver l'accès au routeur compromis sans que les connexions de BlackTech ne soient enregistrées. Les acteurs de BlackTech contournent les fonctions de sécurité intégrées du routeur en installant d'abord un ancien micrologiciel légitime qu'ils modifient ensuite en mémoire pour permettre l'installation d'un bootloader modifié et non signé et d'un micrologiciel modifié et non signé. Le chargeur de démarrage modifié permet au micrologiciel modifié de continuer à échapper à la détection, mais ce n'est pas toujours nécessaire.

Les acteurs de BlackTech peuvent également dissimuler leur présence et obscurcir les modifications apportées aux routeurs Cisco compromis en cachant les politiques Embedded Event Manager (EEM) - une fonction généralement utilisée dans Cisco IOS pour automatiser les tâches qui s'exécutent lors d'événements spécifiques - qui manipulent les résultats des commandes de l'interface de ligne de commande (CLI) de Cisco IOS. Sur un routeur compromis, la politique EEM créée par BlackTech attend des commandes spécifiques pour exécuter des mesures d'obscurcissement ou refuser l'exécution de commandes légitimes spécifiques. Cette politique a deux fonctions : (1) supprimer les lignes contenant certaines chaînes dans la sortie de commandes CLI légitimes spécifiées de Cisco IOS, et (2) empêcher l'exécution d'autres commandes CLI légitimes, comme entraver l'analyse médico-légale en bloquant les commandes de copie, de renommage et de déplacement pour la politique EEM associée.

Processus de remplacement des microprogrammes

Les acteurs de BlackTech utilisent les types de fichiers suivants pour compromettre le routeur. Ces fichiers sont téléchargés sur le routeur via FTP ou SSH.


Les acteurs de BlackTech utilisent le CLI du routeur Cisco pour remplacer le micrologiciel de l'image IOS du routeur. Le processus commence par la modification du microprogramme en mémoire - également appelée "hot patching" - pour permettre l'installation d'un chargeur de démarrage modifié et d'un microprogramme modifié capable de contourner les fonctions de sécurité du routeur. Ensuite, un paquet spécialement conçu déclenche le routeur pour activer la porte dérobée qui contourne la journalisation et la liste de contrôle d'accès (ACL). Les étapes sont les suivantes :

1. Télécharger l'ancien micrologiciel légitime.
2. Configurez le routeur pour qu'il charge l'ancien micrologiciel légitime et redémarre à l'aide de la ou des commandes suivantes :
   
   
   
3. Téléchargez le chargeur de démarrage modifié et le micrologiciel modifié.
4. Configurez le routeur pour qu'il charge le microprogramme modifié à l'aide de la ou des commandes suivantes :
   
   
   
5. Chargez le chargeur de démarrage modifié (le routeur redémarre automatiquement) à l'aide de la commande suivante :
   
   
   
6. Activez l'accès en envoyant un paquet déclencheur contenant des valeurs spécifiques dans le champ UDP data ou TCP Sequence Number et le paramètre Maximum Segment Size (MSS) dans le champ TCP Options.

Chargeur de démarrage modifié

Pour permettre au bootloader et au firmware modifiés d'être installés sur Cisco IOS sans être détectés, les cyberacteurs installent un ancien firmware légitime, puis modifient le firmware en cours d'exécution dans la mémoire afin de contourner les contrôles de signature du firmware dans les fonctions de validation de signature de Cisco ROM Monitor (ROMMON). Les instructions de la version modifiée permettent aux acteurs de contourner les fonctions du test de chargement de l'image IOS et du test d'intégrité ROMMON évolutive sur le terrain.

Firmware modifié

Les acteurs de BlackTech installent un micrologiciel modifié de l'image IOS qui permet un accès dérobé via SSH pour contourner les fonctions de journalisation normales du routeur. Le micrologiciel consiste en un chargeur Cisco IOS qui chargera une image IOS intégrée.

Les acteurs de BlackTech accrochent plusieurs fonctions dans l'image Cisco IOS intégrée pour passer à leur propre code. Ils écrasent le code existant pour gérer la vérification des paquets magiques, mettre en œuvre une porte dérobée SSH et contourner la fonctionnalité de journalisation sur le routeur compromis. Les instructions modifiées contournent l'enregistrement des commandes, les listes d'adresses IP et l'enregistrement des erreurs.

Pour activer les fonctions de la porte dérobée, le micrologiciel vérifie les paquets de déclenchement entrants et active ou désactive la fonctionnalité de la porte dérobée. Lorsque la porte dérobée est activée, les fonctions de journalisation associées sur le routeur sont contournées. L'adresse IP source est stockée et utilisée pour contourner le traitement ACL des paquets correspondants. La porte dérobée SSH comprend un nom d'utilisateur spécial qui ne nécessite pas d'authentification supplémentaire.

Techniques de détection et d'atténuation

Afin de détecter et d'atténuer cette activité malveillante de BlackTech, les agences auteurs recommandent fortement les techniques de détection et d'atténuation suivantes. Il serait trivial pour les acteurs de BlackTech de modifier les valeurs de leurs portes dérobées, ce qui rendrait obsolètes les signatures spécifiques de cette porte dérobée de routeur. Pour une détection plus robuste, les défenseurs du réseau doivent surveiller les appareils du réseau pour détecter les téléchargements non autorisés de chargeurs d'amorçage et d'images de microprogrammes ainsi que les redémarrages. Les défenseurs du réseau doivent également surveiller le trafic inhabituel destiné au routeur, y compris SSH.

Voici les meilleures pratiques d'atténuation pour se défendre contre ce type d'activité malveillante :

• Désactiver les connexions sortantes en appliquant la commande de configuration "transport output none" aux lignes télétype virtuelles (VTY). Cette commande empêchera certaines commandes de copie de se connecter avec succès à des systèmes externes.
  Remarque : un adversaire disposant d'un accès non autorisé à un niveau privilégié à un dispositif de réseau pourrait revenir sur ce changement de configuration.
• Surveillez les connexions entrantes et sortantes des périphériques de réseau vers les systèmes externes et internes. En général, les dispositifs du réseau ne devraient se connecter aux dispositifs voisins que pour échanger des informations sur le routage ou la topologie du réseau, ou avec des systèmes administratifs pour la synchronisation de l'heure, la journalisation, l'authentification, la surveillance, etc. Si possible, bloquer les connexions sortantes non autorisées des dispositifs du réseau en appliquant des listes d'accès ou des ensembles de règles à d'autres dispositifs du réseau proches. En outre, placez les systèmes administratifs dans des réseaux locaux virtuels (VLAN) distincts et bloquez tout trafic non autorisé provenant de périphériques réseau et destiné à des VLAN non administratifs.
• Limiter l'accès aux services d'administration et n'autoriser que les adresses IP utilisées par les administrateurs de réseau en appliquant des listes d'accès aux lignes VTY ou à des services spécifiques. Surveillez les journaux des tentatives de connexion réussies et échouées à l'aide des commandes de configuration "login on-failure log" et "login on-success log", ou en examinant les événements d'authentification, d'autorisation et de comptabilité (AAA) centralisés.
• Mettre à niveau les appareils pour qu'ils disposent de capacités de démarrage sécurisé avec de meilleurs contrôles d'intégrité et d'authenticité pour les chargeurs d'amorçage et les microprogrammes. En particulier, il faut remplacer en priorité tous les équipements en fin de vie et non pris en charge dès que possible.
• Lorsque l'on craint qu'un seul mot de passe ait été compromis, il faut changer tous les mots de passe et toutes les clés.
• Examinez les journaux générés par les appareils du réseau et surveillez les redémarrages non autorisés, les changements de version du système d'exploitation, les modifications de la configuration ou les tentatives de mise à jour du microprogramme. Comparez-les aux changements de configuration prévus et aux plans de correction pour vérifier que les changements sont autorisés.
• Effectuer périodiquement la vérification des fichiers et de la mémoire décrite dans les documents de méthodologie sur l'intégrité des dispositifs de réseau (NDI) afin de détecter les modifications non autorisées des logiciels stockés et fonctionnant sur les dispositifs de réseau.
• Surveillez les modifications apportées aux microprogrammes. Prenez régulièrement des clichés des enregistrements de démarrage et des microprogrammes et comparez-les à des images connues.

Source : CISA

Et vous ?

Quel est votre avis sur le sujet ?

Voir aussi :

La NSA, le FBI et la CISA publient une fiche d'information sur la cybersécurité concernant les menaces liées aux Deepfake

Un micrologiciel dissimulé permet à des pirates affiliés à l'État chinois de contrôler les routeurs à l'aide de "paquets magiques", selon un avis conjoint publié par les États-Unis et le Japon

Des pirates abusent du service cloud d'ASUS pour installer une porte dérobée sur les ordinateurs des utilisateurs, d'après des chercheurs d'ESET