De VS en Japan waarschuwen dat Chinese spionnen zich kunnen verstoppen in Cisco-routers
Een groep staatshackers zou actief achterdeurtjes gebruiken voor de netwerktoestellen van Cisco, om zo toegang te krijgen tot bedrijfsnetwerken en intellectuele eigendom.
De gezamenlijke politiediensten van VS en Japan waarschuwen in een rapport voor een groep aanvallers die firmware van routers kunnen aanpassen om zo de beveiliging te omzeilen. Het rapport komt van de FBI, NSA, CISA en de Japanse cyberveiligheidsdienst NISC en politiedienst NPA. Daarin zeggen de diensten dat de groep BlackTech momenteel Cisco routers gebruikt om netwerken van internationale bedrijven binnen te dringen. Ze zouden daarbij vooral focussen op de internationale kantoren, om vandaar door te stoten naar het hoofdkwartier van grote bedrijven.
BlackTech is een door de Chinese staat gesponsorde geavanceerde aanvalsgroep die vooral gekend is om spionage bij organisaties in Japan, Taiwan en Hong-Kong. In het rapport heeft de FBI het over gepersonaliseerde malware die vaak wordt aangepast om achterdeurtjes in verschillende netwerktoestellen te vinden. De groep gebruikt die om toegang te krijgen tot bedrijfsnetwerken, data te stelen en verkeer door te sturen naar servers die de aanvallers zelf controleren.
Bedoeling daarbij is specifiek om langere tijd in het netwerk te blijven. Daarom gaan de aanvallers vaak ook de firmware van routers aanpassen, zodat hun aanwezigheid daarin verborgen blijft. Ze zouden ook de firmware van de toestellen naar een vroegere versie downgraden om in bepaalde gevallen om nieuwere securityfeatures heen te geraken. Volgens Cisco zelf gebeurt dat echter alleen bij oudere modellen. Nog volgens Cisco, is er geen indicatie momenteel dat er specifieke kwetsbaarheden in zijn routers worden uitgebuit.
Het rapport heeft het overigens vooral over Cisco-routers, maar merkt op dat dezelfde technieken ook bij andere leveranciers gebruikt zouden kunnen worden.
Fout opgemerkt of meer nieuws? Meld het hier