BlackTech, des cyber-acteurs liés à la Chine, peuvent se cacher dans le micrologiciel d'un routeur

Les États-Unis et le Japon publient un avis de mise en garde contre leurs activités

La National Security Agency (NSA) des États-Unis, le Federal Bureau of Investigation (FBI) des États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, la National Police Agency (NPA) du Japon et le National Center of Incident Readiness and Strategy for Cybersecurity (NISC) du Japon ont publié un avis conjoint de cybersécurité (CSA) afin de décrire en détail les activités des cyber-acteurs liés à la République populaire de Chine (RPC) et connus sous le nom de BlackTech.

BlackTech a démontré sa capacité à modifier le micrologiciel des routeurs sans être détecté et à exploiter les relations de confiance entre domaines des routeurs pour passer de filiales internationales à des sièges au Japon et aux États-Unis, qui sont les cibles principales. Les organismes auteurs de l'avis recommandent de mettre en œuvre les mesures d'atténuation décrites pour détecter cette activité et protéger les appareils contre les portes dérobées que les acteurs de BlackTech laissent derrière eux.

Les acteurs de BlackTech (alias Palmerworm, Temp.Overboard, Circuit Panda et Radio Panda) ont ciblé des secteurs gouvernementaux, industriels, technologiques, médiatiques, électroniques et de télécommunications, y compris des entités qui soutiennent les armées des États-Unis et du Japon. Les acteurs de BlackTech utilisent des logiciels malveillants personnalisés, des outils à double usage et des tactiques de survie, telles que la désactivation de la journalisation sur les routeurs, pour dissimuler leurs opérations. Cette CSA détaille les tactiques, techniques et procédures (TTP) de BlackTech, ce qui souligne la nécessité pour les multinationales d'examiner toutes les connexions des filiales, de vérifier l'accès et d'envisager la mise en œuvre de modèles de confiance zéro afin de limiter l'étendue d'une compromission potentielle de BlackTech.


Informations techniques

Contexte

Actifs depuis 2010, les acteurs BlackTech ont historiquement ciblé un large éventail d'organisations publiques et d'industries privées des États-Unis et de l'Asie de l'Est. Les TTP des acteurs de BlackTech comprennent le développement de logiciels malveillants personnalisés et de mécanismes de persistance sur mesure pour compromettre les routeurs. Ces TTP permettent aux acteurs de désactiver la journalisation et d'abuser des relations avec les domaines de confiance pour passer d'une filiale internationale à un réseau national.

TTP observables

Les cyberacteurs de BlackTech utilisent des charges utiles de logiciels malveillants personnalisés et des outils d'accès à distance (RAT) pour cibler les systèmes d'exploitation des victimes. Les acteurs ont utilisé une série de familles de logiciels malveillants personnalisés ciblant les systèmes d'exploitation Windows, Linux et FreeBSD. Les familles de logiciels malveillants personnalisées employées par BlackTech sont les suivantes :

• BendyBear
• Bifrose
• BTSDoor
• FakeDead (alias TSCookie)
• Flagpro
• FrontShell (module de téléchargement de FakeDead)
• IconDown
• PLEAD
• SpiderPig
• SpiderSpring
• SpiderStack
• WaterBear

Les acteurs de BlackTech mettent continuellement à jour ces outils afin d'échapper à la détection des logiciels de sécurité. Les acteurs utilisent également des certificats de signature de code volés pour signer les charges utiles malveillantes, ce qui les fait paraître légitimes et les rend donc plus difficiles à détecter par les logiciels de sécurité.

Les acteurs de BlackTech utilisent des TTP pour se fondre dans les activités normales du système d'exploitation et du réseau, ce qui leur permet d'échapper à la détection par les produits de détection et de réponse des points d'extrémité (EDR). Les méthodes courantes de persistance sur un hôte comprennent les shells NetCat, la modification du registre de la victime pour activer le protocole de bureau à distance (RDP) et le shell sécurisé (SSH). Les acteurs ont également utilisé SNScan pour l'énumération et un serveur de protocole de transfert de fichiers (FTP) local pour déplacer des données à travers le réseau de la victime.

Pivoter à partir des filiales internationales

Les acteurs BlackTech liés à la RPC ciblent les filiales internationales d'entreprises américaines et japonaises. Après avoir obtenu l'accès aux réseaux internes des filiales, les acteurs de BlackTech sont en mesure de passer des routeurs internes de confiance à d'autres filiales des entreprises et aux réseaux des sièges sociaux. Les acteurs de BlackTech exploitent les relations de confiance entre une victime établie et d'autres entités pour étendre leur accès aux réseaux cibles.

Plus précisément, après avoir pris pied dans un réseau cible et obtenu un accès d'administrateur aux périphériques du réseau, les cyberacteurs de BlackTech modifient souvent le micrologiciel pour dissimuler leur activité dans les périphériques afin de maintenir leur persistance dans le réseau. Pour étendre leur emprise à l'ensemble d'une organisation, les acteurs de BlackTech ciblent les routeurs de succursales - généralement des appareils plus petits utilisés dans les succursales éloignées pour se connecter au siège de l'entreprise - et abusent ensuite de la relation de confiance des routeurs de succursales au sein du réseau de l'entreprise ciblée. Les acteurs de BlackTech utilisent ensuite les routeurs de succursales publics compromis comme partie intégrante de leur infrastructure pour le trafic proxy, en se fondant dans le trafic du réseau de l'entreprise et en pivotant vers d'autres victimes sur le même réseau d'entreprise.

Maintien de l'accès par des portes dérobées furtives sur les routeurs

BlackTech a ciblé et exploité diverses marques et versions de routeurs. Les TTP contre les routeurs permettent aux acteurs de dissimuler les changements de configuration, de cacher les commandes et de désactiver la journalisation pendant que les acteurs de BlackTech mènent leurs opérations. Les acteurs de BlackTech ont compromis plusieurs routeurs Cisco en utilisant des variantes d'une porte dérobée de micrologiciel personnalisé. La fonctionnalité de la porte dérobée est activée et désactivée au moyen de paquets TCP ou UDP spécialement élaborés. Ce TTP ne se limite pas aux routeurs Cisco, et des techniques similaires pourraient être utilisées pour activer des portes dérobées dans d'autres équipements de réseau.

Dans certains cas, les acteurs de BlackTech remplacent le micrologiciel de certains routeurs basés sur Cisco IOS par un micrologiciel malveillant. Bien que les acteurs de BlackTech disposaient déjà de privilèges élevés sur le routeur pour remplacer le micrologiciel via l'exécution de la ligne de commande, le micrologiciel malveillant est utilisé pour établir un accès persistant par porte dérobée et obscurcir les...