【美日聯合警告】國家級黑客集團BlackTech 借Cisco路由器刺探機密資料
美國及日本執法部門聯合發出警告,指中國國家級黑客集團 BlackTech 正通過入侵 Cisco router,刺探目標企業的機密資料。這次黑客採用了非常隱密的手段,不單可以自由控制木馬程式隨時開關運作,亦可暫停系統記錄網絡數據,增加安全偵測及專家事後調查的難度。要避免受到入侵,可參考下面的建議方法。
先攻擊企業分部邊緣路由器
根據由美國 FBI、CISA 及日本 NIST 等執法部門的報告顯示,BlackTech 採用特製的木馬程式在網絡設備上建立據點,黑客首先會攻擊企業分部使用的較入門路由器,安裝具惡意功能的韌體。當獲得這些網絡邊緣(edge)設備的管理員權限後,便會濫用目標企業內部路由器與分支路由器的可信關係,繼而攻擊其他網絡上的設備,並從這些設備中收集機密數據回傳控制中心。專家指因為這些分部的邊緣路由器一般不會被安全監測工具覆蓋,所以成為黑客攻擊的目標。
黑客亦採取了多項隱密身分功能,例如會經常更新惡意韌體、以盜用的合法安全證書簽署韌體、操控路由器上的執行指令記錄、刪除間諜活動留下的數據記錄、修改用於自動化執行指令的 EEM 政策等。比較特別之處是 BlackTech 黑客還可精準控制 SSH 後門的啟動及關閉時間,在有需要外傳數據時才打開,無論是實時安全偵測或事後調查木馬程式的執行狀況都變得極度困難。
主要攻擊區域包括香港
翻查資料顯示,BlackTech(又稱Palmerworm、Circuit Panda)屬於國家支持的黑客集團,最早於 2010 年已出現,攻擊區域主要是日本、台灣及香港,而刺探的對象瞄準多個界別,分別有政府、國防;工業、科技、傳媒及電訊等等。過去 NTT、Unit 42 及 Trend Micro 等安全團隊曾發表有關這個集團的攻擊分析,在對比之下,可見集團經常與時並進改變入侵方式,提升木馬程式在目標企業網絡環境的持久性。
雖然這次黑客攻擊的是 Cisco 路由器,但專家警告每個品牌的路由器都可能會被利用。而針對這種入侵方式,美國及日本執法部門對企業有以下安全建議:
1. 監控未經授權的 bootloader 及 firmware images 下載,以及是否有異常設備重啟情況
2. 觀察路由器上的 SSH 網絡流量,保持高度警覺
3. 阻止網絡設備不需要的外部連接,注意未經授權的設備及帳戶訪問
4. 只容許特定 IP 地址登錄帳戶,並記錄各種登錄訪問
5. 一旦帳戶或設備出現可疑情況,立即更改所有密碼和密鑰
6. 定期比對 bootloader 及韌體與官方的版本是否一樣
