Sería un eufemismo decir que las relaciones entre Estados Unidos y China no están en buena forma. Un informe final elaborado conjuntamente por la policía y las fuerzas judiciales de Estados Unidos (CISA, FBI y NSA) y Japón (NISC y NPA) no ayudará en nada. Un grupo APT respaldado por China conocido como BlackTech ha demostrado la capacidad de modificar el firmware del enrutador cisco sin ser detectado a través de puertas traseras. Primero atacó a las filiales de empresas internacionales antes de trasladarse a las oficinas centrales en Estados Unidos y Japón. BlackTech, también conocido como Palmerworm, Temp.Overboard, Circuit Panda y Radio Panda, activo desde 2010, se ha dirigido a empresas de diversos sectores (industria, tecnología, medios de comunicación y telecomunicaciones, etc.), así como a agencias gubernamentales.

"Los actores de BlackTech utilizan malware personalizado, herramientas de doble uso y tácticas de ofuscación, como deshabilitar el inicio de sesión en enrutadores, para ocultar sus operaciones". explica el informe. Se proporcionaron detalles sobre las tácticas, técnicas y procedimientos de esta banda cibernética que exigía que las grandes cuentas examinaran todas las conexiones de sus filiales, verificaran el acceso y consideraran la implementación de modelos de confianza cero para limitar la expansión de la superficie de ataque.

Índice
  1. Firmware de iOS reemplazado por versiones corruptas
  2. Contramedidas a aplicar

Firmware de iOS reemplazado por versiones corruptas

“Después de obtener acceso a las redes internas de las sucursales, los actores de BlackTech pueden pasar de enrutadores internos confiables a otras sucursales de la empresa y a las redes de las oficinas centrales. Explotan las relaciones de red de confianza entre una víctima establecida y otras entidades para ampliar su acceso a las redes objetivo”, se lee en el informe. Los ciberdelincuentes han logrado mantener el acceso a través de puertas traseras de enrutadores con el fin de ocultar cambios de configuración, comandos y deshabilitar el registro para pasar discretamente desapercibidos. Como parte de este compromiso, y en ciertos casos, también lograron reemplazar el firmware oficial de ciertos equipos de red que ejecutan Cisco iOS por otros corruptos.

"Los individuos de BlackTech también pueden ocultar su presencia y ocultar cambios en los enrutadores Cisco comprometidos ocultando las políticas de Embedded Event Manager (EEM), una característica típicamente utilizada en Cisco IOS para automatizar tareas y manipular su interfaz en línea", dice el estudio.

Contramedidas a aplicar

Para detectar y mitigar esta actividad maliciosa se pueden activar diferentes técnicas de detección y mitigación. Estos incluyen: deshabilitar las conexiones salientes aplicando el comando de configuración "transportar salida ninguna" a las líneas de teletipo virtual (VTY), monitorear las conexiones entrantes y salientes desde dispositivos de red a sistemas externos e internos. O limite el acceso a los servicios administrativos y permita solo las direcciones IP utilizadas por los administradores de red aplicando listas de acceso a líneas VTY o direcciones específicas y actualice los terminales para que tengan capacidades de arranque seguro con mejores comprobaciones de integridad y autenticidad para los cargadores de arranque y el firmware.

Tras este informe, el fabricante de equipos estadounidense reaccionó precisando que “nada indica que se hayan aprovechado las vulnerabilidades de Cisco”, y que sus “modernos equipos integran funciones de arranque seguro que no permiten cambiar ni ejecutar imágenes de software modificadas”.