LEBIGDATA.FR I.A, Cloud & Cybersécurité
Les routeurs Cisco sont la cible d'un dangereux malware chinois. Les hackers l'utilisent pour accéder discrètement à des réseaux d'entreprise.
Les autorités américaines et japonaises, avec des agences de cybersécurité, font ainsi part de leurs inquiétudes. Un groupe de hackers – n'étant visiblement pas à son coup d'essai – exploite une vulnérabilité des routeurs Cisco avec un malware chinois. Il attaque les réseaux d'entreprise en ciblant d'abord les filiales internationales avant le siège social.
Cette faille des routeurs Cisco a mobilisé plusieurs agences et entités gouvernementales. Le groupe de travail rassemble :
- Le FBI, le Bureau fédéral d'enquête américain
- La NSA, l'Agence nationale de sécurité américaine
- La CISA, l'Agence de cybersécurité et de sécurité des infrastructures américaine
- Le NISC, le Centre national de préparation aux incidents et de stratégie pour la cybersécurité japonais
- La NPA, la Police nationale japonaise
Qui cible les routeurs Cisco avec un malware chinois ?
Toutes ces organisations dénoncent dans un rapport détaillé les agissements de BlackTech. Le document définit ce dernier comme un groupe APT (advanced persistent threat ou menace persistante avancée) financé par la Chine pour mener des attaques de cyberespionnage.
Par ailleurs, BlackTech est en activité depuis au moins 2010. On lui prête plusieurs surnoms dans le milieu de la cybersécurité. Les plus connus sont Circuit Panda, Radio Panda et Palmerworm. Toujours selon le rapport, le groupe APT chinois cible essentiellement des entités ou entreprises hongkongaise, taïwanaise et japonaise.
Précisons que la formation de hackers cible des secteurs tels que l'administration, l'industrie, la technologie, les médias, les télécommunications et la défense.
Le mode opératoire de BlackTech
Opérer des attaques par les routeurs semble être sa marque de fabrique. Rappelons qu'en 2019, le groupe avait accédé au service WebStorage du constructeur informatique taïwanais Asus grâce à une vulnérabilité des équipements de routage.
L'auteur des attaques contre les routeurs Cisco avec un malware chinois ne fait aucun doute pour les États-Unis et le Japon.
Les hackers de BlackTech utilisent des malwares personnalisés. Ils les mettent régulièrement à jour pour améliorer leurs performances.
Notons que ces logiciels malveillants améliorés ont pour fonction de créer des portes dérobées sur les équipements de réseau. Celles-ci permettent d'accéder illégalement aux réseaux, de récupérer frauduleusement des données et de rediriger le trafic vers des serveurs sous le contrôle des hackers.
Détails du piratage des routeurs Cisco
Il est important de souligner que les malwares personnalisés ne se limitent pas à la création de portes dérobées. Ils altèrent également le firmware ou logiciel embarqué des équipements de réseau.
Le firmware altéré permet aux hackers de masquer l'historique des modifications de configuration et des commandes exécutées. En somme, les routeurs Cisco infectés ne mettent plus à jour le journal des opérations effectuées dans le système.
Pour les routeurs Cisco en particulier, les experts de sécurité ont observé des attaquants qui reposent sur des paquets TCP ou UDP dédiés aux équipements infectés pour l'activation et la désactivation d'une porte dérobée SSH. Les attaquants échappent à la détection grâce à cette méthode.
D'autre part, le groupe de travail américano-japonais offre des recommandations pour se défendre contre le piratage des routeurs Cisco par le malware chinois. Il est surtout conseillé aux administrateurs réseau de constamment mettre à jour leurs correctifs de sécurité.
Restez à la pointe de l'information avec LEBIGDATA.FR !
Abonnez-vous à notre chaîne YouTube et rejoignez-nous sur Google Actualités pour garder une longueur d'avance.
- Partager l'article :
