美國國家安全局(NSA)、聯邦調查局(FBI)、網路安全暨基礎設施安全局(CISA),以及日本國家資安事件整備與策略中心(NISC)發布聯合公告,中國駭客組織BlackTech竄改思科路由器的韌體,目的是隱匿攻擊行動,然後從子公司進一步滲透位於美國或日本的企業總部。

這些機構表示,駭客為了在目標組織立足,會先從可透過網際網路存取的分支路由器下手,濫用企業網路對這些路由器的信賴關係,將其充當駭客的基礎設施,引入來自代理伺服器的流量,混雜到目標組織的流量,駭客再趁機部署惡意韌體並植入後門程式,而此後門程式會透過特定的TCP或UDP封包而啟用或停用,並使用SSH連線存取路由器,而不會留下連線記錄。

而對於攻擊者更換韌體的過程中,他們先是下載舊版IOS韌體映像檔,並以熱修補的方式套用到路由器上,然而再部署自製的韌體載入工具,植入帶有後門程式的惡意韌體。攻擊者這麼做的目的,是為了繞過路由器的安全功能。

對此,思科認為,駭客在這些攻擊當中,最常見的入侵手法是利用外洩的帳密或弱密碼,而非利用路由器的漏洞。再者,則是對於攻擊者濫用舊版韌體的部分,該公司也提及只有舊設備才能透過這種方式降級韌體,現行支援安全啟動的路由器不允許降版。另一方面,對於外流、被用於攻擊行動的程式碼簽章,該公司強調並非從他們洩露,他們也並未察覺任何從思科基礎設施竊取簽章的情況。

熱門新聞

Advertisement