Un micrologiciel dissimulé permet à des pirates affiliés à l'État chinois de contrôler les routeurs à l'aide de "paquets magiques"
selon un avis conjoint publié par les États-Unis et le Japon

Un avis de sécurité publié mercredi par les États-Unis et le Japon allègue que des pirates informatiques liés à la Chine s'introduisent dans les dispositifs de réseau, notamment les routeurs, pour installer des micrologiciels personnalisés. Cette brèche leur permettrait ensuite d'accéder aux réseaux d'entreprises, espionner, voler la propriété intellectuelle et d'autres données sensibles. L'avis de sécurité indique que les secteurs les plus ciblés par les pirates sont le gouvernement, l'industrie, les médias, la technologie, l'électronique et l'industrie de la défense. L'entité à l'origine de la menace est connue sous le nom de BlackTech et les routeurs Cisco seraient spécifiquement visés.

L'avis de sécurité a été publié par les services américains - tels que le FBI, la NSA, la CISA, la NISC (cybersécurité) - en collaboration avec la police japonaise (NPA). Il explique que BlackTech (alias Palmerworm, Circuit Panda et Radio Panda) est un groupe APT (advanced persistent threat) chinois parrainé par l'État, connu pour mener des attaques de cyberespionnage contre des entités japonaises, taïwanaises et hongkongaises depuis au moins 2010. Selon les auteurs de l'avis de sécurité, l'acteur de la menace, en l'occurrence BlackTech, obtient d'une manière ou d'une autre des identifiants d'administrateur pour les dispositifs réseau utilisés par les filiales.

À travers cet accès, BlackTech installe des microprogrammes malveillants personnalisés et régulièrement mis à jour qui peuvent être déclenchés avec des "paquets magiques" pour effectuer des tâches spécifiques. (Les paquets magiques sont des trames réseau spécialement conçues pour sortir un ordinateur d'un état d'économie d'énergie.) Les pirates utilisent ensuite le contrôle de ces appareils pour infiltrer les réseaux des entreprises qui entretiennent des relations de confiance avec les filiales ayant fait l'objet de la violation. Une fois le réseau infiltré, les pirates volent les données en redirigeant le trafic vers des serveurs contrôlés par l'attaquant.

Nom : 230927-D-IM742-9999.jpg
Affichages : 26472
Taille : 259,9 Ko

L'avis de sécurité signale que les logiciels malveillants personnalisés sont parfois signés à l'aide de certificats de signature de code volés, ce qui les rend plus difficiles à détecter par les logiciels de sécurité. Le microprogramme modifié permet aux auteurs de la menace de dissimuler les changements de configuration et l'historique des commandes exécutées. Il permet également aux pirates de désactiver la journalisation sur un appareil compromis pendant qu'ils se livrent activement à des opérations malveillantes. Un extrait de l'avis de sécurité explique le déroulement du mécanisme comme suit :

Citation Envoyé par Extrait de l'avis de sécurité
Plus précisément, après avoir pris pied dans un réseau cible et obtenu un accès administrateur aux périphériques du réseau, les cyberacteurs de BlackTech modifient souvent le micrologiciel pour dissimuler leur activité dans les périphériques afin de maintenir leur persistance dans le réseau. Pour étendre leur emprise à l'ensemble d'une organisation, les acteurs de BlackTech ciblent les routeurs de succursales - généralement de petits appareils utilisés dans les succursales éloignées pour se connecter au siège de l'entreprise - et abusent ensuite de la relation de confiance des routeurs de succursales au sein du réseau de l'entreprise ciblée. Les acteurs de BlackTech utilisent ensuite les routeurs de branche publics compromis comme partie intégrante de leur infrastructure pour le trafic proxy, en se fondant dans le trafic du réseau de l'entreprise, et en pivotant vers d'autres victimes sur le même réseau d'entreprise
L'avis met l'accent sur le matériel Cisco, mais note que les espions pourraient utiliser des techniques similaires pour compromettre l'intégrité d'autres équipements de réseau. Dans le cas des routeurs Cisco, les chercheurs ont observé que les pirates activaient et désactivaient un micrologiciel malveillant SSH en utilisant des paquets TCP ou UDP spécialement conçus qui sont envoyés aux appareils. Cette méthode permet aux attaquants d'échapper à la détection et de n'activer le microprogramme malveillant que lorsque cela est nécessaire. Les acteurs de la menace ont également été observés en train de patcher la mémoire des appareils Cisco.

Le but serait de contourner les fonctions de validation des signatures du Cisco ROM Monitor. Dans le cas des routeurs Cisco piratés, les pirates modifient également les politiques EEM (Embedded Event Manager) utilisées pour l'automatisation des tâches, en supprimant certaines chaînes de caractères des commandes légitimes afin de bloquer leur exécution et d'entraver l'analyse médico-légale. Un porte-parole de Cisco a déclaré : « Cisco a pris connaissance de l'avis conjoint de cybersécurité (CSA) du 27 septembre, qui détaille les activités des cyberacteurs de BlackTech visant à cibler les microprogrammes des routeurs de plusieurs fournisseurs ».

« Rien n'indique que des vulnérabilités de Cisco aient été exploitées comme indiqué dans l'avis de sécurité de Cisco. L'alerte d'aujourd'hui souligne le besoin urgent pour les entreprises de mettre à jour, patcher et configurer de manière sécurisée leurs périphériques réseau, des étapes critiques pour maintenir une hygiène de sécurité et atteindre une résilience globale du réseau », indique-t-il. Cisco a ajouté que la capacité des pirates à installer un micrologiciel malveillant n'existe que pour les anciens produits de l'entreprise. Les produits plus récents sont équipés de fonctions de démarrage sécurisé qui empêchent l'exécution de micrologiciels non autorisés.

Pour ajouter leur chargeur de démarrage modifié, les pirates installent une ancienne version du micrologiciel légitime, puis la modifient lorsqu'elle s'exécute en mémoire. Cela permet de contourner les contrôles de signature dans les fonctions de validation des signatures du moniteur ROM de Cisco, en particulier les fonctions du test de chargement de l'image IOS de Cisco et du test d'intégrité ROMMON actualisable sur le terrain. Le micrologiciel modifié, qui consiste en un chargeur IOS de Cisco qui installe une image IOS intégrée, permet aux routeurs compromis d'établir des connexions par SSH sans être enregistrés dans les journaux d'événements.

Selon les analystes, la création de logiciels malveillants personnalisés n'est pas une nouveauté pour BlackTech. Plusieurs rapports ont mis en évidence l'utilisation de cette tactique par l'acteur de la menace. Un ancien rapport de Trend Micro mentionnait spécifiquement la tactique consistant à compromettre des routeurs vulnérables pour les utiliser comme serveurs C2. L'avis invite les administrateurs à prendre diverses mesures pour détecter les infections et prévenir le risque d'infection. Il met en garde contre l'inefficacité de certaines techniques de détection traditionnelles, telles que la recherche de signatures cryptographiques dans les micrologiciels.

L'avis conseille aux administrateurs système de surveiller les téléchargements non autorisés d'images de chargeurs de démarrage et de micrologiciels, ainsi que les redémarrages inhabituels de périphériques qui pourraient faire partie du chargement de micrologiciels modifiés sur les routeurs. Les instructions de détection et d'atténuation sont les suivantes :

  • désactiver les connexions sortantes en appliquant la commande de configuration "transport output none" aux lignes télétype virtuelles (VTY). Cette commande empêchera certaines commandes de copie de se connecter avec succès à des systèmes externes. Remarque : un adversaire disposant d'un accès non autorisé à un périphérique de réseau pourrait revenir sur cette modification de la configuration ;
  • surveiller les connexions entrantes et sortantes des périphériques de réseau vers les systèmes externes et internes. En général, les dispositifs du réseau ne devraient se connecter aux dispositifs voisins que pour échanger des informations sur le routage ou la topologie du réseau, ou avec des systèmes administratifs pour la synchronisation de l'heure, la journalisation, l'authentification, la surveillance, etc. Si possible, bloquez les connexions sortantes non autorisées des dispositifs du réseau en appliquant des listes d'accès ou des ensembles de règles à d'autres dispositifs du réseau proches. En outre, placez les systèmes administratifs dans des réseaux locaux virtuels (VLAN) distincts et bloquez tout le trafic non autorisé provenant des dispositifs du réseau et destiné aux VLAN non administratifs ;
  • limiter l'accès aux services d'administration et n'autoriser que les adresses IP utilisées par les administrateurs réseau en appliquant des listes d'accès aux lignes VTY ou à des services spécifiques. Surveiller les journaux des tentatives de connexion réussies et échouées à l'aide des commandes de configuration "login on-failure log" et "login on-success log", ou en examinant les événements d'authentification, d'autorisation et de comptabilité (AAA) centralisés ;
  • mettre à jour les appareils pour qu'ils disposent de capacités de démarrage sécurisé avec de meilleurs contrôles d'intégrité et d'authenticité pour les chargeurs d'amorçage et les microprogrammes. En particulier, le remplacement de tous les équipements en fin de vie et non pris en charge doit être une priorité absolue dès que possible ;
  • lorsque l'on craint qu'un seul mot de passe ait été compromis, il faut changer tous les mots de passe et toutes les clés ;
  • examiner les journaux générés par les appareils du réseau et rechercher les redémarrages non autorisés, les changements de version du système d'exploitation, les modifications de la configuration ou les tentatives de mise à jour du microprogramme. Comparer avec les changements de configuration prévus et les plans de correction pour vérifier que les changements sont autorisés ;
  • effectuer périodiquement la vérification des fichiers et de la mémoire décrite dans les documents de méthodologie de l'intégrité des dispositifs du réseau (NDI) afin de détecter les changements non autorisés du logiciel stocké et fonctionnant sur les dispositifs du réseau ;
  • surveiller les modifications apportées aux microprogrammes. Prendre périodiquement des instantanés des enregistrements de démarrage et des microprogrammes et les comparer à des images de qualité connue.


Sources : avis de sécurité (PDF), Cisco, CISA, NSA

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la méthode de pirate de l'acteur de la menace BlackTech ?
Pourquoi les pirates ciblent particulièrement les équipements fournis par Cisco ?
La sécurité des équipements Cisco, notamment les routeurs, est-elle remise en cause ?

Voir aussi

Le malware VPNFilter, utilisé pour pirater plus de 500 000 routeurs est plus sophistiqué que ne laissaient penser les premières analyses

La Chine compterait 50 pirates informatiques pour chaque cyber-agent du FBI, le directeur du FBI dénonce la menace cybernétique de la Chine et demande plus de budget

Il est urgent de renforcer la sécurité de la mémoire dans les produits logiciels, selon la CISA, l'utilisation d'un langage de programmation à sécurité mémoire comme Rust serait une solution

Les pirates de la génération Z qui ont attaqué MGM et Caesars seraient motivés par "le pouvoir, l'influence et la notoriété" en plus de l'argent, ils seraient "très doués" pour l'ingénierie sociale