Многие эксперты полагают, что между государствами уже давно идёт скрытая цифровая война. Власти США постоянно обвиняют хакеров из Северной Кореи в многочисленных взломах, а также отмывании денег при помощи криптовалюты, но особенно активны китайские программисты. Янки то и дело жалуются на принадлежность киберпреступников из Поднебесной к властным структурам, но решительно забывают, чем занимаются ЦРУ и АНБ. Есть все основания предполагать, что всё самое интересное впереди, ведь обе стороны накапливают силы, ну а пока мы становимся свидетелями взаимных ударов. Недавно в сети засветилась группа хакеров под именем «BlackTech», получившая известность благодаря массовым взломам маршрутизаторов компании Cisco. По данным экспертов, хакеры крайне трудолюбивы, поскольку используют персонализированный подход, встраивая в каждый отдельный роутер бэкдор. В итоге, большая часть подобных устройств не представляет угрозы для пользователей, но вирус может выйти из спящего состояния в любой момент.
«BlackTech» уже успели привлечь внимание американских федеральных агентств, включая Агентство национальной безопасности (АНБ), Федеральное бюро расследований (ФБР), Агентство по кибербезопасности и защите инфраструктуры США (CISA), а также полиции США и японского агентства по вопросам информационной безопасности NISC. Все эти организации объединились, чтобы подготовить совместный отчёт, раскрывающий масштаб и методы деятельности китайской хакерской группы. Важно отметить, что такая объединённая реакция на киберугрозы свидетельствует о серьёзности проблемы, вот только сделать все указанные выше структуры пока ничего не могут. Согласно отчёту, «BlackTech» представляет собой китайскую APT-группу (Advanced Persistent Threat), которая имеет тесные связи с китайскими государственными структурами и получает финансирование от них. Структура существует уже почти 14 лет и умудрилась поменять несколько названий за это время. Например, хакеры успели наследить в сети под псевдонимами: Palmerworm, Circuit Panda и Radio Panda.
Основная цель «BlackTech» заключается во взломе правительственных организаций, компаний с государственным участием, а также предприятий в области промышленности, информационных технологий, телекоммуникаций и электроники. Компании в сфере средств массовой информации и оборонной промышленности также оказываются в зоне интересов хакеров, но эксперты не стали называть тех, кто уже стал жертвами взлома. Для достижения поставленных целей хакеры используют специализированные вредоносные программы, которые постоянно обновляются и имеют высокий уровень защищённости. С помощи подобного ПО «BlackTech» взламывают маршрутизаторы Cisco, а также устройства других компаний. Сообщается, что в последние годы хакеры проявляют интерес к устройствам других производителей, таких как Fortinet, SonicWall и TP-Link. Это свидетельствует о нарастающей сложности и многоуровневости атак. По мнению экспертов из американских федеральных агентств, китайские хакеры предпринимают незаметные атаки на целевые организации, получая полный контроль над их системами. После этого вносятся изменения в прошивку сетевых устройств, чтобы скрыть свои следы и обеспечить себе постоянный доступ к сети. Чтобы предотвратить обнаружение своих действий, они подписывают ROM-файлы украденными сертификатами, затрудняя анализ и обнаружение атак.
Для повышения шансов на успешный взлом, хакеры «BlackTech» избегают проводить атаки на центральные офисы организаций, выбирая филиалы в маленьких городах. Хакеры предпочитают тщательно изучать уязвимости в сетях отдалённых офисов, а после получения доступа могут подключаться к любым устройствам, не вызывая подозрений у администраторов. После установки бэкдоров хакеры оставляют себе постоянный и незаметный доступ к корпоративной сети. Чтобы сохранить его, они применяют различные методы маскировки собственных действий. Например, они временно отключают ведение журнала на скомпрометированных устройствах, чтобы избежать обнаружения, а перед уходом приводят систему в прежнее состояние. В отчёте приводится интересный пример. Так, получив контроль над роутером Cisco, хакеры многократно включали и выключали SSH-бэкдор, используя специализированные UDP- и TCP-пакеты. Благодаря этой тактике, устройство казалось безопасным и надёжным для администраторов даже в те моменты, когда хакеры не входили в сеть. Чтобы получить контроль над роутерами Cisco, имеющими собственные системы защиты, хакерам из Китая удаётся изменить память устройства, отключая функцию ROM Monitor, служащую для проверки цифровой подписи прошивки маршрутизатора. Это позволяет внедрить модифицированную прошивку с бэкдорами без обнаружения.
Отчёт федеральных агентств содержит обширный список рекомендаций для системных администраторов, которые в теории помогают снизить вероятность взлома. Вот только одной из проблем является тот факт, что иногда сами производители сетевых устройств способствуют хакерским атакам. Особенно это относится к компании Cisco, которая часто отказывается от устранения уязвимостей в прошивках своих роутеров. Вместо этого производитель советует своим клиентам приобретать новое оборудование. Это создаёт серьёзные проблемы для организаций, которые должны постоянно обновлять своё сетевое оборудование, чтобы гарантировать безопасность. В пример можно привести случай, когда в марте Cisco приняла решение не выпускать патч для огромного количества роутеров даже несмотря на то, что устранить уязвимость можно было без особых проблем.