Grupo hacker chinês BlackTech explorou roteadores para atingir empresas norte-americanas e japonesas

Agências de segurança cibernética dos Estados Unidos e do Japão emitiram um alerta conjunto sobre ataques coordenados conduzidos por um grupo de hackers com apoio estatal da China. Estes ataques visam manipular de maneira não autorizada os roteadores de filiais empresariais para utilizá-los como pontos de acesso, permitindo o acesso às redes de diversas empresas nos dois países.

As agências responsáveis por este alerta incluem a Agência Nacional de Segurança dos EUA (NSA), o Federal Bureau of Investigation (FBI), a Agência de Segurança Cibernética e Infraestrutura (CISA) dos EUA, a Agência de Polícia Nacional do Japão (NPA) e o Centro Nacional Japonês de Prontidão e Estratégia para Incidentes de Cibersegurança (NISC).

O grupo responsável por esses ataques é conhecido como BlackTech, mas também possui outros nomes como Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard. Este grupo tem uma história de operações voltadas para alvos na Ásia Oriental, especialmente em Taiwan, Japão e Hong Kong, datando pelo menos desde 2007.

De acordo com as agências, a BlackTech demonstrou habilidades para modificar o firmware de roteadores sem ser detectada e explorar as relações de confiança dos domínios dos roteadores. Isso permite que eles se movam das filiais internacionais para as sedes no Japão e nos Estados Unidos, que são seus principais alvos.

Os setores visados incluem governo, indústria, tecnologia, mídia, eletrônicos, telecomunicações e entidades que apoiam as forças armadas dos EUA e do Japão.

A BlackTech é conhecida por utilizar uma variedade de backdoors e ferramentas, como BendyBear, BIFROSE, Consock, KIVARS, PLEAD, TSCookie, XBOW e Waterbear, em suas campanhas. Em particular, eles têm explorado vulnerabilidades em roteadores para usá-los como servidores de comando e controle.

A empresa de cibersegurança Trend Micro descreveu esses atores como bem financiados e organizados, visando diversos setores, incluindo governo, eletrônicos, saúde e finanças.

Além disso, a BlackTech é associada a um malware chamado EYEWELL, usado principalmente contra o governo de Taiwan e alvos tecnológicos. Este malware possui uma capacidade de proxy passiva que permite a retransmissão de tráfego de sistemas infectados com EYEWELL.

A BlackTech é uma ameaça altamente sofisticada que utiliza uma ampla gama de ferramentas e técnicas para infiltrar-se em dispositivos de borda e manter o acesso persistente. As agências de segurança recomendam monitorar dispositivos de rede em busca de atividades suspeitas e reforçar a segurança das credenciais administrativas para mitigar esses ataques.

Fonte