中國駭客BlackTech竄改思科路由器韌體，入侵美國、日本跨國企業的網路環境

美國國家安全局（NSA）、聯邦調查局（FBI）、網路安全暨基礎設施安全局（CISA），以及日本國家資安事件整備與策略中心（NISC）發布聯合公告，中國駭客組織BlackTech竄改思科路由器的韌體，目的是隱匿攻擊行動，然後從子公司進一步滲透位於美國或日本的企業總部。

這些機構表示，駭客為了在目標組織立足，會先從可透過網際網路存取的分支路由器下手，濫用企業網路對這些路由器的信賴關係，將其充當駭客的基礎設施，引入來自代理伺服器的流量，混雜到目標組織的流量，駭客再趁機部署惡意韌體並植入後門程式，而此後門程式會透過特定的TCP或UDP封包而啟用或停用，並使用SSH連線存取路由器，而不會留下連線記錄。

而對於攻擊者更換韌體的過程中，他們先是下載舊版IOS韌體映像檔，並以熱修補的方式套用到路由器上，然而再部署自製的韌體載入工具，植入帶有後門程式的惡意韌體。攻擊者這麼做的目的，是為了繞過路由器的安全功能。

對此，思科認為，駭客在這些攻擊當中，最常見的入侵手法是利用外洩的帳密或弱密碼，而非利用路由器的漏洞。再者，則是對於攻擊者濫用舊版韌體的部分，該公司也提及只有舊設備才能透過這種方式降級韌體，現行支援安全啟動的路由器不允許降版。另一方面，對於外流、被用於攻擊行動的程式碼簽章，該公司強調並非從他們洩露，他們也並未察覺任何從思科基礎設施竊取簽章的情況。