- Gần đây, nhóm APT BlackTech, đã bị phát hiện trong quá trình xâm nhập vào các router mạng để tiến hành tấn công nhiều tổ chức khác nhau.

Theo cơ quan điều tra, nhóm này đã thực hiện chiến dịch tấn công từ năm 2010 và gần đây đã thay đổi firmware của router Cisco để che giấu hoạt động trong khi nhắm mục tiêu tấn công vào các công ty có trụ sở chính tại Mỹ và Nhật Bản.

Phương thức tấn công được thực hiện như sau:

• BlackTech thường nhắm vào các router nhánh, những thiết bị nhỏ thường dùng trong văn phòng chi nhánh, đồng thời sử dụng kết nối tin cậy giữa nạn nhân và các người dùng khác trong mạng lưới mục tiêu.

• Sau khi chiếm được quyền quản trị viên, nhóm này bắt đầu điều chỉnh firmware để che giấu hoạt động và duy trì kết nối trong mạng.

• BlackTech sử dụng các biến thể của backdoor firmware để có thể bật/tắt tùy ý thông qua các gói tin TCP hoặc UDP.

• Trong một số trường hợp, BlackTech đã thay thế firmware cho một số router IOS của Cisco bằng phiên bản độc hại, từ đó duy trì kết nối backdoor và che giấu các hoạt động tấn công.

Nhóm APT BlackTech thường sử dụng mã độc tùy chỉnh và công cụ dual-use. Đây là công cụ vừa giúp ích cho người dùng, vừa cho phép đối tượng tấn công sử dụng trong các chiến dịch tấn công.

Chiến thuật living-off-the-land thường được nhóm này dùng để tận dụng các tính năng có sẵn trên các thiết bị và phần mềm bị xâm nhập. Ví dụ, họ có thể tắt chức năng ghi nhật ký trên các router để che giấu hoạt động của mình.

Để tránh bị phát hiện, BlackTech thường xuyên cập nhật các công cụ tấn công và sử dụng các chứng thư số (Code Signing Certificates) để các phần mềm giả mạo trông đáng tin cậy hơn.

PV