Một nhóm tội phạm mạng nổi tiếng của Trung Quốc có tên “BlackTech” đang tích cực nhắm mục tiêu vào các bộ định tuyến của Cisco để lấy cắp dữ liệu nhạy cảm. Cơ quan tình báo Hoa Kỳ NSA, FBI và Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã đưa ra một báo cáo tư vấn chung cùng với cảnh sát Nhật Bản và cơ quan an ninh mạng trình bày chi tiết các hoạt động của BlackTech và đưa ra các khuyến nghị để giảm thiểu các cuộc tấn công.
Còn được gọi là Palmerworm, Temp.Overboard, Circuit Panda và Radio Panda, nhóm BlackTech đã hoạt động từ năm 2010. Tội phạm mạng được tài trợ trực tiếp bởi chế độ độc tài cộng sản Trung Quốc, cố vấn cho biết và trước đây chúng đã nhắm mục tiêu vào các tổ chức từ chính phủ, các nhà thầu công nghiệp, truyền thông, điện tử, viễn thông và quốc phòng tại Hoa Kỳ và Đông Á.
Kẻ tấn công mạng chuyên phát triển phần mềm độc hại tùy chỉnh và “cơ chế tồn tại phù hợp” để xâm phạm các thương hiệu bộ định tuyến phổ biến. Hoa Kỳ và Nhật Bản cảnh báo các chương trình độc hại tùy chỉnh này bao gồm các tính năng nguy hiểm nhằm vô hiệu hóa tính năng ghi nhật ký, lạm dụng các mối quan hệ tên miền đáng tin cậy và xâm phạm dữ liệu nhạy cảm. Lời khuyên này bao gồm danh sách các chủng phần mềm độc hại cụ thể như BendyBear, Bifrose, SpiderPig và WaterBear, được sử dụng để nhắm mục tiêu vào các hệ điều hành Windows, Linux và thậm chí FreeBSD.
Lời khuyên không cung cấp bất kỳ manh mối nào về các phương pháp được BlackTech sử dụng để giành quyền truy cập ban đầu vào thiết bị của nạn nhân, có thể bao gồm thông tin xác thực bị đánh cắp phổ biến hoặc thậm chí một số lỗ hổng bảo mật 0 ngày “cực kỳ phức tạp” chưa xác định. Khi xâm nhập, tội phạm mạng lạm dụng Giao diện dòng lệnh (CLI) của Cisco IOS để thay thế chương trình cơ sở bộ định tuyến chính thức bằng hình ảnh chương trình cơ sở bị xâm phạm.
Quá trình bắt đầu khi phần sụn được sửa đổi trong bộ nhớ thông qua kỹ thuật “vá nóng”, lời khuyên cảnh báo, đây là điểm vào cần thiết để cài đặt bộ tải khởi động đã sửa đổi và phần sụn đã sửa đổi. Sau khi quá trình cài đặt hoàn tất, chương trình cơ sở đã sửa đổi có thể bỏ qua các tính năng bảo mật của bộ định tuyến và cho phép truy cập cửa sau mà không để lại dấu vết trong nhật ký và tránh các hạn chế về danh sách kiểm soát truy cập (ACL).
Để phát hiện và ngăn chặn các hoạt động độc hại của BlackTech, các công ty và tổ chức nên tuân theo một số “phương pháp giảm thiểu tốt nhất”. Nhân viên CNTT nên vô hiệu hóa các kết nối gửi đi bằng cách áp dụng lệnh cấu hình “không có đầu ra truyền tải” cho các đường dây teletype ảo (VTY), giám sát cả kết nối gửi đến và gửi đi, giới hạn quyền truy cập và giám sát nhật ký.
Các tổ chức cũng nên nâng cấp các thiết bị mạng với phiên bản chương trình cơ sở mới nhất, thay đổi tất cả mật khẩu và khóa khi có lo ngại rằng một mật khẩu đã bị xâm phạm, thực hiện định kỳ cả xác minh tệp và bộ nhớ cũng như theo dõi các thay đổi đối với chương trình cơ sở. Hoa Kỳ và Nhật Bản đang cảnh báo chống lại các bộ định tuyến của Cisco bị xâm nhập, nhưng các kỹ thuật được mô tả trong khuyến cáo chung có thể dễ dàng được điều chỉnh để nhắm mục tiêu vào các thương hiệu thiết bị mạng nổi tiếng khác.