La National Security Agency (NSA) des tats-Unis, le Federal Bureau of Investigation (FBI) des tats-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) des tats-Unis, la National Police Agency (NPA) du Japon et le National Center of Incident Readiness and Strategy for Cybersecurity (NISC) du Japon ont publi un avis conjoint de cyberscurit (CSA) afin de dcrire en dtail les activits des cyber-acteurs lis la Rpublique populaire de Chine (RPC) et connus sous le nom de BlackTech.
BlackTech a dmontr sa capacit modifier le micrologiciel des routeurs sans tre dtect et exploiter les relations de confiance entre domaines des routeurs pour passer de filiales internationales des siges au Japon et aux tats-Unis, qui sont les cibles principales. Les organismes auteurs de l’avis recommandent de mettre en uvre les mesures d’attnuation dcrites pour dtecter cette activit et protger les appareils contre les portes drobes que les acteurs de BlackTech laissent derrire eux.
Les acteurs de BlackTech (alias Palmerworm, Temp.Overboard, Circuit Panda et Radio Panda) ont cibl des secteurs gouvernementaux, industriels, technologiques, mdiatiques, lectroniques et de tlcommunications, y compris des entits qui soutiennent les armes des tats-Unis et du Japon. Les acteurs de BlackTech utilisent des logiciels malveillants personnaliss, des outils double usage et des tactiques de survie, telles que la dsactivation de la journalisation sur les routeurs, pour dissimuler leurs oprations. Cette CSA dtaille les tactiques, techniques et procdures (TTP) de BlackTech, ce qui souligne la ncessit pour les multinationales d’examiner toutes les connexions des filiales, de vrifier l’accs et d’envisager la mise en uvre de modles de confiance zro afin de limiter l’tendue d’une compromission potentielle de BlackTech.
Informations techniques
Contexte
Actifs depuis 2010, les acteurs BlackTech ont historiquement cibl un large ventail d’organisations publiques et d’industries prives des tats-Unis et de l’Asie de l’Est. Les TTP des acteurs de BlackTech comprennent le dveloppement de logiciels malveillants personnaliss et de mcanismes de persistance sur mesure pour compromettre les routeurs. Ces TTP permettent aux acteurs de dsactiver la journalisation et d’abuser des relations avec les domaines de confiance pour passer d’une filiale internationale un rseau national.
TTP observables
Les cyberacteurs de BlackTech utilisent des charges utiles de logiciels malveillants personnaliss et des outils d’accs distance (RAT) pour cibler les systmes d’exploitation des victimes. Les acteurs ont utilis une srie de familles de logiciels malveillants personnaliss ciblant les systmes d’exploitation Windows, Linux et FreeBSD. Les familles de logiciels malveillants personnalises employes par BlackTech sont les suivantes :
- BendyBear
- Bifrose
- BTSDoor
- FakeDead (alias TSCookie)
- Flagpro
- FrontShell (module de tlchargement de FakeDead)
- IconDown
- PLEAD
- SpiderPig
- SpiderSpring
- SpiderStack
- WaterBear
Les acteurs de BlackTech mettent continuellement jour ces outils afin d’chapper la dtection des logiciels de scurit. Les acteurs utilisent galement des certificats de signature de code vols pour signer les charges utiles malveillantes, ce qui les fait paratre lgitimes et les rend donc plus difficiles dtecter par les logiciels de scurit.
Les acteurs de BlackTech utilisent des TTP pour se fondre dans les activits normales du systme d’exploitation et du rseau, ce qui leur permet d’chapper la dtection par les produits de dtection et de rponse des points d’extrmit (EDR). Les mthodes courantes de persistance sur un hte comprennent les shells NetCat, la modification du registre de la victime pour activer le protocole de bureau distance (RDP) et le shell scuris (SSH). Les acteurs ont galement utilis SNScan pour l’numration et un serveur de protocole de transfert de fichiers (FTP) local pour dplacer des donnes travers le rseau de la victime.
Pivoter partir des filiales internationales
Les acteurs BlackTech lis la RPC ciblent les filiales internationales d’entreprises amricaines et japonaises. Aprs avoir obtenu l’accs aux rseaux internes des filiales, les acteurs de BlackTech sont en mesure de passer des routeurs internes de confiance d’autres filiales des entreprises et aux rseaux des siges sociaux. Les acteurs de BlackTech exploitent les relations de confiance entre une victime tablie et d’autres entits pour tendre leur accs aux rseaux cibles.
Plus prcisment, aprs avoir pris pied dans un rseau cible et obtenu un accs d’administrateur aux priphriques du rseau, les cyberacteurs de BlackTech modifient souvent le micrologiciel pour dissimuler leur activit dans les priphriques afin de maintenir leur persistance dans le rseau. Pour tendre leur emprise l’ensemble d’une organisation, les acteurs de BlackTech ciblent les routeurs de succursales – gnralement des appareils plus petits utiliss dans les succursales loignes pour se connecter au sige de l’entreprise – et abusent ensuite de la relation de confiance des routeurs de succursales au sein du rseau de l’entreprise cible. Les acteurs de BlackTech utilisent ensuite les routeurs de succursales publics compromis comme partie intgrante de leur infrastructure pour le trafic proxy, en se fondant dans le trafic du rseau de l’entreprise et en pivotant vers d’autres victimes sur le mme rseau d’entreprise.
Maintien de l’accs par des portes drobes furtives sur les routeurs
BlackTech a cibl et exploit diverses marques et versions de routeurs. Les TTP contre les routeurs permettent aux acteurs de dissimuler les changements de configuration, de cacher les commandes et de dsactiver la journalisation pendant que les acteurs de BlackTech mnent leurs oprations. Les acteurs de BlackTech ont compromis plusieurs routeurs Cisco en utilisant des variantes d’une porte drobe de micrologiciel personnalis. La fonctionnalit de la porte drobe est active et dsactive au moyen de paquets TCP ou UDP spcialement labors. Ce TTP ne se limite pas aux routeurs Cisco, et des techniques similaires pourraient tre utilises pour activer des portes drobes dans d’autres quipements de rseau.
Dans certains cas, les acteurs de BlackTech remplacent le micrologiciel de certains routeurs bass sur Cisco IOS par un micrologiciel malveillant. Bien que les acteurs de BlackTech disposaient dj de privilges levs sur le routeur pour remplacer le micrologiciel via l’excution de la ligne de commande, le micrologiciel malveillant est utilis pour tablir un accs persistant par porte drobe et obscurcir les activits malveillantes futures. Le micrologiciel modifi utilise une porte drobe SSH intgre, ce qui permet aux acteurs de BlackTech de conserver l’accs au routeur compromis sans que les connexions de BlackTech ne soient enregistres. Les acteurs de BlackTech contournent les fonctions de scurit intgres du routeur en installant d’abord un ancien micrologiciel lgitime qu’ils modifient ensuite en mmoire pour permettre l’installation d’un bootloader modifi et non sign et d’un micrologiciel modifi et non sign. Le chargeur de dmarrage modifi permet au micrologiciel modifi de continuer chapper la dtection, mais ce n’est pas toujours ncessaire.
Les acteurs de BlackTech peuvent galement dissimuler leur prsence et obscurcir les modifications apportes aux routeurs Cisco compromis en cachant les politiques Embedded Event Manager (EEM) – une fonction gnralement utilise dans Cisco IOS pour automatiser les tches qui s’excutent lors d’vnements spcifiques – qui manipulent les rsultats des commandes de l’interface de ligne de commande (CLI) de Cisco IOS. Sur un routeur compromis, la politique EEM cre par BlackTech attend des commandes spcifiques pour excuter des mesures d’obscurcissement ou refuser l’excution de commandes lgitimes spcifiques. Cette politique a deux fonctions : (1) supprimer les lignes contenant certaines chanes dans la sortie de commandes CLI lgitimes spcifies de Cisco IOS, et (2) empcher l’excution d’autres commandes CLI lgitimes, comme entraver l’analyse mdico-lgale en bloquant les commandes de copie, de renommage et de dplacement pour la politique EEM associe.
Processus de remplacement des microprogrammes
Les acteurs de BlackTech utilisent les types de fichiers suivants pour compromettre le routeur. Ces fichiers sont tlchargs sur le routeur via FTP ou SSH.
Les acteurs de BlackTech utilisent le CLI du routeur Cisco pour remplacer le micrologiciel de l’image IOS du routeur. Le processus commence par la modification du microprogramme en mmoire – galement appele « hot patching » – pour permettre l’installation d’un chargeur de dmarrage modifi et d’un microprogramme modifi capable de contourner les fonctions de scurit du routeur. Ensuite, un paquet spcialement conu dclenche le routeur pour activer la porte drobe qui contourne la journalisation et la liste de contrle d’accs (ACL). Les tapes sont les suivantes :
- Tlcharger l’ancien micrologiciel lgitime.
- Configurez le routeur pour qu’il charge l’ancien micrologiciel lgitime et redmarre l’aide de la ou des commandes suivantes :
- Tlchargez le chargeur de dmarrage modifi et le micrologiciel modifi.
- Configurez le routeur pour qu’il charge le microprogramme modifi l’aide de la ou des commandes suivantes :
- Chargez le chargeur de dmarrage modifi (le routeur redmarre automatiquement) l’aide de la commande suivante :
- Activez l’accs en envoyant un paquet dclencheur contenant des valeurs spcifiques dans le champ UDP data ou TCP Sequence Number et le paramtre Maximum Segment Size (MSS) dans le champ TCP Options.
Chargeur de dmarrage modifi
Pour permettre au bootloader et au firmware modifis d’tre installs sur Cisco IOS sans tre dtects, les cyberacteurs installent un ancien firmware lgitime, puis modifient le firmware en cours d’excution dans la mmoire afin de contourner les contrles de signature du firmware dans les fonctions de validation de signature de Cisco ROM Monitor (ROMMON). Les instructions de la version modifie permettent aux acteurs de contourner les fonctions du test de chargement de l’image IOS et du test d’intgrit ROMMON volutive sur le terrain.
Firmware modifi
Les acteurs de BlackTech installent un micrologiciel modifi de l’image IOS qui permet un accs drob via SSH pour contourner les fonctions de journalisation normales du routeur. Le micrologiciel consiste en un chargeur Cisco IOS qui chargera une image IOS intgre.
Les acteurs de BlackTech accrochent plusieurs fonctions dans l’image Cisco IOS intgre pour passer leur propre code. Ils crasent le code existant pour grer la vrification des paquets magiques, mettre en uvre une porte drobe SSH et contourner la fonctionnalit de journalisation sur le routeur compromis. Les instructions modifies contournent l’enregistrement des commandes, les listes d’adresses IP et l’enregistrement des erreurs.
Pour activer les fonctions de la porte drobe, le micrologiciel vrifie les paquets de dclenchement entrants et active ou dsactive la fonctionnalit de la porte drobe. Lorsque la porte drobe est active, les fonctions de journalisation associes sur le routeur sont contournes. L’adresse IP source est stocke et utilise pour contourner le traitement ACL des paquets correspondants. La porte drobe SSH comprend un nom d’utilisateur spcial qui ne ncessite pas d’authentification supplmentaire.
Techniques de dtection et d’attnuation
Afin de dtecter et d’attnuer cette activit malveillante de BlackTech, les agences auteurs recommandent fortement les techniques de dtection et d’attnuation suivantes. Il serait trivial pour les acteurs de BlackTech de modifier les valeurs de leurs portes drobes, ce qui rendrait obsoltes les signatures spcifiques de cette porte drobe de routeur. Pour une dtection plus robuste, les dfenseurs du rseau doivent surveiller les appareils du rseau pour dtecter les tlchargements non autoriss de chargeurs d’amorage et d’images de microprogrammes ainsi que les redmarrages. Les dfenseurs du rseau doivent galement surveiller le trafic inhabituel destin au routeur, y compris SSH.
Voici les meilleures pratiques d’attnuation pour se dfendre contre ce type d’activit malveillante :
- Dsactiver les connexions sortantes en appliquant la commande de configuration « transport output none » aux lignes tltype virtuelles (VTY). Cette commande empchera certaines commandes de copie de se connecter avec succs des systmes externes.
Remarque : un adversaire disposant d’un accs non autoris un niveau privilgi un dispositif de rseau pourrait revenir sur ce changement de configuration. - Surveillez les connexions entrantes et sortantes des priphriques de rseau vers les systmes externes et internes. En gnral, les dispositifs du rseau ne devraient se connecter aux dispositifs voisins que pour changer des informations sur le routage ou la topologie du rseau, ou avec des systmes administratifs pour la synchronisation de l’heure, la journalisation, l’authentification, la surveillance, etc. Si possible, bloquer les connexions sortantes non autorises des dispositifs du rseau en appliquant des listes d’accs ou des ensembles de rgles d’autres dispositifs du rseau proches. En outre, placez les systmes administratifs dans des rseaux locaux virtuels (VLAN) distincts et bloquez tout trafic non autoris provenant de priphriques rseau et destin des VLAN non administratifs.
- Limiter l’accs aux services d’administration et n’autoriser que les adresses IP utilises par les administrateurs de rseau en appliquant des listes d’accs aux lignes VTY ou des services spcifiques. Surveillez les journaux des tentatives de connexion russies et choues l’aide des commandes de configuration « login on-failure log » et « login on-success log« , ou en examinant les vnements d’authentification, d’autorisation et de comptabilit (AAA) centraliss.
- Mettre niveau les appareils pour qu’ils disposent de capacits de dmarrage scuris avec de meilleurs contrles d’intgrit et d’authenticit pour les chargeurs d’amorage et les microprogrammes. En particulier, il faut remplacer en priorit tous les quipements en fin de vie et non pris en charge ds que possible.
- Lorsque l’on craint qu’un seul mot de passe ait t compromis, il faut changer tous les mots de passe et toutes les cls.
- Examinez les journaux gnrs par les appareils du rseau et surveillez les redmarrages non autoriss, les changements de version du systme d’exploitation, les modifications de la configuration ou les tentatives de mise jour du microprogramme. Comparez-les aux changements de configuration prvus et aux plans de correction pour vrifier que les changements sont autoriss.
- Effectuer priodiquement la vrification des fichiers et de la mmoire dcrite dans les documents de mthodologie sur l’intgrit des dispositifs de rseau (NDI) afin de dtecter les modifications non autorises des logiciels stocks et fonctionnant sur les dispositifs de rseau.
- Surveillez les modifications apportes aux microprogrammes. Prenez rgulirement des clichs des enregistrements de dmarrage et des microprogrammes et comparez-les des images connues.
Source : CISA
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :