政府支持的黑客程序被发现"藏身"于路由器设备固件内

目前，国家支持的黑客入侵大品牌路由器和其他网络设备已经不是什么新鲜事了。一个名为"BlackTech"的知名中国网络犯罪集团正积极瞄准思科路由器进行敏感数据外泄。美国国家安全局（NSA）、联邦调查局（FBI）、网络安全和基础设施安全局（CISA）与日本警方和网络安全当局共同发布了一份联合公告，详细描述了BlackTech的活动，并提供了缓解攻击后果的建议。

BlackTech也被称为Palmerworm、Temp.Overboard、CircuitPanda和RadioPanda，自2010年以来一直很活跃。报告称，这些网络犯罪分子源自中国，他们历来以美国和东亚的政府、工业、媒体、电子、电信和国防承包商等组织为攻击目标。

该网络行为者专门开发定制恶意软件和"定制持久机制"，以入侵流行的路由器品牌。美国和日本警告说，这些定制恶意程序包括禁用日志记录、滥用可信域关系和破坏敏感数据等危险功能。该警告包括一份特定恶意软件菌株的清单，如BendyBear、Bifrose、SpiderPig和WaterBear，这些恶意软件用于攻击Windows、Linux甚至FreeBSD操作系统。

该公告没有提供任何关于BlackTech使用何种方法获取受害者设备的初始访问权限的线索，其中可能包括普通的被盗凭据，甚至是一些未知的、"非常复杂的"0-day安全漏洞。进入后，网络犯罪分子会滥用思科IOS命令行界面(CLI)，用受攻击的固件镜像替换官方路由器固件。

公告警告说，这一过程始于通过"热补丁"技术修改内存中的固件，这是安装修改过的引导加载程序和修改过的固件所需的入口点。安装完成后，修改后的固件就可以绕过路由器的安全功能，实现后门访问，在日志中不留痕迹，并避开访问控制列表（ACL）限制。

为了检测和挫败BlackTech的恶意活动，建议公司和组织遵循一些"最佳缓解措施"。IT人员应通过对虚拟电传打字机(VTY)线路应用"transportoutputnone"配置命令来禁用出站连接，监控入站和出站连接，限制访问并监控日志。

各组织还应该用最新固件版本升级网络设备，在担心单个密码被泄露时更改所有密码和密钥，定期执行文件和内存验证，并监控固件的更改。美国和日本针对被入侵的思科路由器发出警告，但联合公告中描述的技术可以很容易地适用于其他知名品牌的网络设备。

了解更多：

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a