Un micrologiciel dissimul permet des pirates affilis l’tat chinois de contrler les routeurs l’aide de « paquets magiques », Selon un avis conjoint publi par les tats-Unis et le Japon

Un groupe de ransomware menace de renverser le gouvernement du Costa Rica, et rclame une ranon de 20 millions de dollars contre une cl de dchiffrement



Un avis de scurit publi mercredi par les tats-Unis et le Japon allgue que des pirates informatiques lis la Chine s’introduisent dans les dispositifs de rseau, notamment les routeurs, pour installer des micrologiciels personnaliss. Cette brche leur permettrait ensuite d’accder aux rseaux d’entreprises, espionner, voler la proprit intellectuelle et d’autres donnes sensibles. L’avis de scurit indique que les secteurs les plus cibls par les pirates sont le gouvernement, l’industrie, les mdias, la technologie, l’lectronique et l’industrie de la dfense. L’entit l’origine de la menace est connue sous le nom de BlackTech et les routeurs Cisco seraient spcifiquement viss.

L’avis de scurit a t publi par les services amricains – tels que le FBI, la NSA, la CISA, la NISC (cyberscurit) – en collaboration avec la police japonaise (NPA). Il explique que BlackTech (alias Palmerworm, Circuit Panda et Radio Panda) est un groupe APT (advanced persistent threat) chinois parrain par l’tat, connu pour mener des attaques de cyberespionnage contre des entits japonaises, tawanaises et hongkongaises depuis au moins 2010. Selon les auteurs de l’avis de scurit, l’acteur de la menace, en l’occurrence BlackTech, obtient d’une manire ou d’une autre des identifiants d’administrateur pour les dispositifs rseau utiliss par les filiales.

travers cet accs, BlackTech installe des microprogrammes malveillants personnaliss et rgulirement mis jour qui peuvent tre dclenchs avec des « paquets magiques » pour effectuer des tches spcifiques. (Les paquets magiques sont des trames rseau spcialement conues pour sortir un ordinateur d’un tat d’conomie d’nergie.) Les pirates utilisent ensuite le contrle de ces appareils pour infiltrer les rseaux des entreprises qui entretiennent des relations de confiance avec les filiales ayant fait l’objet de la violation. Une fois le rseau infiltr, les pirates volent les donnes en redirigeant le trafic vers des serveurs contrls par l’attaquant.

L’avis de scurit signale que les logiciels malveillants personnaliss sont parfois signs l’aide de certificats de signature de code vols, ce qui les rend plus difficiles dtecter par les logiciels de scurit. Le microprogramme modifi permet aux auteurs de la menace de dissimuler les changements de configuration et l’historique des commandes excutes. Il permet galement aux pirates de dsactiver la journalisation sur un appareil compromis pendant qu’ils se livrent activement des oprations malveillantes. Un extrait de l’avis de scurit explique le droulement du mcanisme comme suit :

Citation Envoy par Extrait de l’avis de scurit

Plus prcisment, aprs avoir pris pied dans un rseau cible et obtenu un accs administrateur aux priphriques du rseau, les cyberacteurs de BlackTech modifient souvent le micrologiciel pour dissimuler leur activit dans les priphriques afin de maintenir leur persistance dans le rseau. Pour tendre leur emprise l’ensemble d’une organisation, les acteurs de BlackTech ciblent les routeurs de succursales – gnralement de petits appareils utiliss dans les succursales loignes pour se connecter au sige de l’entreprise – et abusent ensuite de la relation de confiance des routeurs de succursales au sein du rseau de l’entreprise cible. Les acteurs de BlackTech utilisent ensuite les routeurs de branche publics compromis comme partie intgrante de leur infrastructure pour le trafic proxy, en se fondant dans le trafic du rseau de l’entreprise, et en pivotant vers d’autres victimes sur le mme rseau d’entreprise

L’avis met l’accent sur le matriel Cisco, mais note que les espions pourraient utiliser des techniques similaires pour compromettre l’intgrit d’autres quipements de rseau. Dans le cas des routeurs Cisco, les chercheurs ont observ que les pirates activaient et dsactivaient un micrologiciel malveillant SSH en utilisant des paquets TCP ou UDP spcialement conus qui sont envoys aux appareils. Cette mthode permet aux attaquants d’chapper la dtection et de n’activer le microprogramme malveillant que lorsque cela est ncessaire. Les acteurs de la menace ont galement t observs en train de patcher la mmoire des appareils Cisco.

Le but serait de contourner les fonctions de validation des signatures du Cisco ROM Monitor. Dans le cas des routeurs Cisco pirats, les pirates modifient galement les politiques EEM (Embedded Event Manager) utilises pour l’automatisation des tches, en supprimant certaines chanes de caractres des commandes lgitimes afin de bloquer leur excution et d’entraver l’analyse mdico-lgale. Un porte-parole de Cisco a dclar : Cisco a pris connaissance de l’avis conjoint de cyberscurit (CSA) du 27 septembre, qui dtaille les activits des cyberacteurs de BlackTech visant cibler les microprogrammes des routeurs de plusieurs fournisseurs .

Rien n’indique que des vulnrabilits de Cisco aient t exploites comme indiqu dans l’avis de scurit de Cisco. L’alerte d’aujourd’hui souligne le besoin urgent pour les entreprises de mettre jour, patcher et configurer de manire scurise leurs priphriques rseau, des tapes critiques pour maintenir une hygine de scurit et atteindre une rsilience globale du rseau , indique-t-il. Cisco a ajout que la capacit des pirates installer un micrologiciel malveillant n’existe que pour les anciens produits de l’entreprise. Les produits plus rcents sont quips de fonctions de dmarrage scuris qui empchent l’excution de micrologiciels non autoriss.

Pour ajouter leur chargeur de dmarrage modifi, les pirates installent une ancienne version du micrologiciel lgitime, puis la modifient lorsqu’elle s’excute en mmoire. Cela permet de contourner les contrles de signature dans les fonctions de validation des signatures du moniteur ROM de Cisco, en particulier les fonctions du test de chargement de l’image IOS de Cisco et du test d’intgrit ROMMON actualisable sur le terrain. Le micrologiciel modifi, qui consiste en un chargeur IOS de Cisco qui installe une image IOS intgre, permet aux routeurs compromis d’tablir des connexions par SSH sans tre enregistrs dans les journaux d’vnements.

Selon les analystes, la cration de logiciels malveillants personnaliss n’est pas une nouveaut pour BlackTech. Plusieurs rapports ont mis en vidence l’utilisation de cette tactique par l’acteur de la menace. Un ancien rapport de Trend Micro mentionnait spcifiquement la tactique consistant compromettre des routeurs vulnrables pour les utiliser comme serveurs C2. L’avis invite les administrateurs prendre diverses mesures pour dtecter les infections et prvenir le risque d’infection. Il met en garde contre l’inefficacit de certaines techniques de dtection traditionnelles, telles que la recherche de signatures cryptographiques dans les micrologiciels.

L’avis conseille aux administrateurs systme de surveiller les tlchargements non autoriss d’images de chargeurs de dmarrage et de micrologiciels, ainsi que les redmarrages inhabituels de priphriques qui pourraient faire partie du chargement de micrologiciels modifis sur les routeurs. Les instructions de dtection et d’attnuation sont les suivantes :

  • dsactiver les connexions sortantes en appliquant la commande de configuration « transport output none » aux lignes tltype virtuelles (VTY). Cette commande empchera certaines commandes de copie de se connecter avec succs des systmes externes. Remarque : un adversaire disposant d’un accs non autoris un priphrique de rseau pourrait revenir sur cette modification de la configuration ;
  • surveiller les connexions entrantes et sortantes des priphriques de rseau vers les systmes externes et internes. En gnral, les dispositifs du rseau ne devraient se connecter aux dispositifs voisins que pour changer des informations sur le routage ou la topologie du rseau, ou avec des systmes administratifs pour la synchronisation de l’heure, la journalisation, l’authentification, la surveillance, etc. Si possible, bloquez les connexions sortantes non autorises des dispositifs du rseau en appliquant des listes d’accs ou des ensembles de rgles d’autres dispositifs du rseau proches. En outre, placez les systmes administratifs dans des rseaux locaux virtuels (VLAN) distincts et bloquez tout le trafic non autoris provenant des dispositifs du rseau et destin aux VLAN non administratifs ;
  • limiter l’accs aux services d’administration et n’autoriser que les adresses IP utilises par les administrateurs rseau en appliquant des listes d’accs aux lignes VTY ou des services spcifiques. Surveiller les journaux des tentatives de connexion russies et choues l’aide des commandes de configuration « login on-failure log » et « login on-success log », ou en examinant les vnements d’authentification, d’autorisation et de comptabilit (AAA) centraliss ;
  • mettre jour les appareils pour qu’ils disposent de capacits de dmarrage scuris avec de meilleurs contrles d’intgrit et d’authenticit pour les chargeurs d’amorage et les microprogrammes. En particulier, le remplacement de tous les quipements en fin de vie et non pris en charge doit tre une priorit absolue ds que possible ;
  • lorsque l’on craint qu’un seul mot de passe ait t compromis, il faut changer tous les mots de passe et toutes les cls ;
  • examiner les journaux gnrs par les appareils du rseau et rechercher les redmarrages non autoriss, les changements de version du systme d’exploitation, les modifications de la configuration ou les tentatives de mise jour du microprogramme. Comparer avec les changements de configuration prvus et les plans de correction pour vrifier que les changements sont autoriss ;
  • effectuer priodiquement la vrification des fichiers et de la mmoire dcrite dans les documents de mthodologie de l’intgrit des dispositifs du rseau (NDI) afin de dtecter les changements non autoriss du logiciel stock et fonctionnant sur les dispositifs du rseau ;
  • surveiller les modifications apportes aux microprogrammes. Prendre priodiquement des instantans des enregistrements de dmarrage et des microprogrammes et les comparer des images de qualit connue.

Sources : avis de scurit (PDF), Cisco, CISA, NSA

Et vous ?

Quel est votre avis sur le sujet ?

Que pensez-vous de la mthode de pirate de l’acteur de la menace BlackTech ?

Pourquoi les pirates ciblent particulirement les quipements fournis par Cisco ?

La scurit des quipements Cisco, notamment les routeurs, est-elle remise en cause ?

Voir aussi

Le malware VPNFilter, utilis pour pirater plus de 500 000 routeurs est plus sophistiqu que ne laissaient penser les premires analyses

La Chine compterait 50 pirates informatiques pour chaque cyber-agent du FBI, le directeur du FBI dnonce la menace cyberntique de la Chine et demande plus de budget

Il est urgent de renforcer la scurit de la mmoire dans les produits logiciels, selon la CISA, l’utilisation d’un langage de programmation scurit mmoire comme Rust serait une solution

Les pirates de la gnration Z qui ont attaqu MGM et Caesars seraient motivs par « le pouvoir, l’influence et la notorit » en plus de l’argent, ils seraient « trs dous » pour l’ingnierie sociale



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.