Il est peu de dire que les relations entre les Etats-Unis et la Chine ne sont pas au beau fixe. Un dernier rapport réalisé conjointement par des forces de de police et de justice aux Etats-Unis (CISA, FBI et NSA) et au Japon (NISC et NPA) ne va pas arranger les choses. Un groupe APT connu en tant que BlackTech soutenu par la Chine a démontré sa capacité à modifier le micrologiciel des routeurs Cisco sans être détectés via des backdoors. Il s'est d'abord attaqué à des filiales d'entreprises internationales avant de remonter vers les sièges sociaux aux Etats-Unis et au Japon. Egalement connu sous l'appellation Palmerworm, Temp.Overboard, Circuit Panda, et Radio Panda, BlackTech - actif depuis 2010 - a pris pour cible des sociétés dans des secteurs variées (industrie, technologies, média et télécoms...) ainsi que des agences gouvernementales.

« Les acteurs de BlackTech utilisent des malwares personnalisés, des outils à double usage et des tactiques de masquage, comme la désactivation de la journalisation sur les routeurs, pour dissimuler leurs opérations », explique le rapport. Des détails ont été fournis sur les tactiques, techniques et procédures de ce cybergang ayant nécessité pour les grands comptes d'examiner toutes les connexions de leurs filiales, d'en vérifier l'accès, et d'envisager la mise en œuvre de modèles zero trust pour limiter d'étendre la surface d'attaque.

Le firmware iOS remplacé par des versions corrompues

« Après avoir obtenu l'accès aux réseaux internes des filiales, les acteurs de BlackTech sont en mesure de passer des routeurs internes de confiance à d'autres filiales de l'entreprise et aux réseaux du siège. Ils exploitent les relations de réseau de confiance entre une victime établie et d'autres entités afin d'élargir leur accès aux réseaux cibles », peut-on lire dans le rapport. Les cybercriminels a réussi à maintenir l'accès par des backdoors de routeurs à des fins de dissimulation de changements de configuration, de commandes et désactiver la journalisation pour discrètement passer sous le radar. Dans le cadre de cette compromission - et dans certains cas - ils sont également parvenus à remplacer le firmware officiel de certains équipements réseaux sous Cisco iOS par d'autres corrompus.

« Les personnes de BlackTech peuvent également dissimuler leur présence et cacher les modifications apportées aux routeurs Cisco compromis en masquant les politiques d'Embedded Event Manager (EEM), une fonction généralement utilisée dans Cisco IOS pour automatiser les tâches et manipuler son interface en ligne de commande », indique l'étude.

Des contre-mesures à appliquer

Pour détecter et atténuer cette activité malveillante, différentes techniques de détection et d'atténuation peuvent être activées. Parmi lesquelles : désactiver les connexions sortantes en appliquant la commande de configuration « transport output none » aux lignes de télétype virtuel (VTY), surveiller les connexions entrantes et sortantes des dispositifs du réseau vers les systèmes externes et internes. Ou encore limiter l'accès aux services d'administration et n'autoriser que les adresses IP utilisées par les administrateurs réseau en appliquant des listes d'accès aux lignes VTY ou à des adresses spécifiques et mettre à jour les terminaux pour qu'ils disposent de capacités de démarrage sécurisé avec de meilleurs contrôles d'intégrité et d'authenticité pour les chargeurs de démarrage et les microprogrammes.

Suite à ce rapport, l'équipementier américain a réagi en précisant que « rien n'indique que des vulnérabilités de Cisco aient été exploitées », et que ses « équipements modernes intègrent des fonctions de démarrage sécurisé ne permettant pas de changer et d'exécuter des images logicielles modifiées ».