Chinesische Cyberkriminelle haben es auf Cisco-Router abgesehen

Amerikanische und japanische Sicherheitsbehörden warnen in einem "Cybersecurity Advisory" vor gehackten Netzwerkgeräten. Die chinesische Hackergruppe "BlackTech" dringe in Netzwerkgeräte ein, um benutzeridentifizierte Hintertüren für den Zugang zu Unternehmensnetzwerken zu installieren. Die Gruppe habe bereits mehrere Cisco-Router mit verschiedenen Variationen einer Backdoor-Firmware kompromittiert. 

Blacktech kennzeichne die Malware mittels gefälschten Code-Signatur-Zertifikaten als sicher, schreibt "Bleepingcomputer". Dies erschwere es der Sicherheitssoftware, die Malware als solche zu identifizieren. 

Blacktech mache sich an der SSH-Backdoor zu schaffen, indem die Gruppe speziell angefertigte TCP- oder UDP-Pakete an die Geräte senden. Dadurch könnten die Angreifer einer Entdeckung entgehen. Weiter heisst es im Bericht, dass die Akteure den Hauptspeicher von Cisco-Geräten verändern. Damit umgehen sie die Signatur-Validierungsfunktion des Cisco-ROM-Monitors. So lasse sich modifizierte Firmware über schon bestehende Hintertüren hochladen. Einen solchen Zugriff protokolliere das Gerät nicht, heisst es weiter. 

Bei kompromittierten Cisco-Routern änderten die Hacker auch EEM-Richtlinien. Diese seien für die Automatisierung von Aufgaben notwendig. Gewisse Befehle würden willkürlich so abgeändert, dass eine Ausführung des Befehls nicht mehr möglich sei. Dies erschwere eine forensische Analyse zusätzlich. Die Hacker würden zudem gestohlene Admin-Anmeldedaten verwenden, um sich in den Netzwerken zu bewegen und weitere Netzwerkgeräte zu manipulieren. 

Blacktech konzentriere sich auf Router in Zweigniederlassungen, deren Geräte eine Verbindung zwischen der Niederlassung und der Zentrale herstellten. Dies betrifft insbesondere kleinere Geräte, die eine Verbindung zwischen einer Zweigstelle und der Unternehmenszentrale herstellen.

Cisco dementiert 

In einem offiziellen Statement schreibt Cisco, dass das Unternehmen bisher keine Anzeichen dafür entdeckt habe, dass irgendwelche Cisco-Schwachstellen ausgenutzt worden seien. Ausserdem handle es sich bei den gestohlenen Code-Signatur-Zertifikaten, die im Bericht auch erwähnt werden, nicht um solche von Cisco. Das Unternehmen habe zudem keine Hinweise darauf, dass Zertifikate gestohlen worden sein. 

Über Blacktech

Bei Blacktech, auch bekannt als Palmerworm, Circuit Panda oder Radio Panda, handelt es sich um eine von China finanzierte APT-Gruppe (Advanced Persistent Threat). Die Gruppe führt seit 2010 regelmässig Cyberspionage-Angriffe gegen Unternehmen aus, die in Japan, Taiwan oder Hongkong ansässig sind.

Wie kann man sich schützen?

Folgende Schutzmassnahmen empfehlen die Behörden: 

• Verwenden Sie den "transport output none"-Befehl, um unerwünschte externe Verbindungen zu blockieren.
• Überwachen Sie den eingehenden und ausgehenden Datenverkehr auf den Geräten. Achten Sie auf unautorisierte Zugriffe. Isolieren Sie verschiedene Verwaltungssysteme voneinander mit VLAN.
• Erlauben Sie nur bestimmte IP-Adressen als Netzwerk-Administratoren und verfolgen Sie Login-Versuche.
• Stellen Sie auf Geräte mit fortgeschrittenem Secure Boot um. Updaten Sie veraltete Geräte.
• Falls es zu einem Sicherheitsbruch gekommen ist, ändern Sie sofort sämtliche Passwörter.
• Überprüfen Sie die Protokolle auf Anomalien. Dazu gehören unerwartete Reboots oder Änderungen an der Gerätekonfiguration
• Verwenden Sie die Network-Device-Integrity-Methode (NDI), um unbefugte Veränderungen zu entdecken

Malware versteckt sich nicht nur auf Netzwerkgeräten. So gelang es Hackern, 9 Millionen Androidgeräte zu infizieren, bevor die überhaupt an den Endkunden ausgeliefert wurden. Mehr dazu lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.