VS en Japan: Chinese staatshackers valt bedrijfsnetwerken aan via Cisco-hardware
Een groep staatshackers zou actief achterdeurtjes gebruiken voor de netwerktoestellen van Cisco, om zo toegang te krijgen tot bedrijfsnetwerken en intellectuele eigendom.
De gezamenlijke politiediensten van VS en Japan waarschuwen in een rapport voor een groep aanvallers die firmware van routers kunnen aanpassen om zo de beveiliging te omzeilen. Het rapport komt van de FBI, NSA, CISA en de Japanse cyberveiligheidsdienst NISC en politiedienst NPA. Daarin zeggen de diensten dat de groep BlackTech momenteel Cisco routers gebruikt om netwerken van internationale bedrijven binnen te dringen. Ze zouden daarbij vooral focussen op de internationale kantoren, om vandaar door te stoten naar het hoofdkwartier van grote bedrijven.
BlackTech
BlackTech is een door de Chinese staat gesponsorde geavanceerde aanvalsgroep die vooral gekend is om spionage bij organisaties in Japan, Taiwan en Hong-Kong. In het rapport heeft de FBI het over gepersonaliseerde malware die vaak wordt aangepast om achterdeurtjes in verschillende netwerktoestellen te vinden. De groep gebruikt die om toegang te krijgen tot bedrijfsnetwerken, data te stelen en verkeer door te sturen naar servers die de aanvallers zelf controleren.
Het doel daarbij is specifiek om langere tijd in het netwerk te blijven. Daarom gaan de aanvallers vaak ook de firmware van routers aanpassen, zodat hun aanwezigheid daarin verborgen blijft. Ze zouden ook de firmware van de toestellen naar een vroegere versie downgraden om in bepaalde gevallen nieuwere securityfeatures te omzeilen. Volgens Cisco zelf gebeurt dat echter alleen bij oudere modellen. Ook meldt Cisco op dit moment geen indicatie te hebben dat er specifieke kwetsbaarheden in zijn routers worden uitgebuit.
Het rapport heeft het overigens vooral over Cisco-routers, maar merkt op dat dezelfde technieken ook bij andere leveranciers gebruikt zouden kunnen worden.
In samenwerking met Data News