中国黑客组织 BlackTech 对企业网络的渗透

主要重点

黑客组织 BlackTech 突破美国和日本跨国公司的企业网络，通过修改路由器固件进行攻击。专家建议跨国企业检查其子公司所有网络连接，并提高安全防范措施。BlackTech 利用被盗或弱口令的管理凭证进入企业网络。

中国的威胁行动者 BlackTech 透过复杂的攻击手段，已成功侵入多家美国和日本的跨国公司，这些攻击涉及修改受害组织在海外分支机构的路由器固件。该高级持续性威胁APT组织通过侵入子公司的边缘设备，能够从目标企业的相对不安全的小型路由器转向其总部网络，造成更大影响。

根据美国国家安全局NSA、联邦调查局FBI、网络安全和基础设施安全局CISA、日本国家警察署NPA及日本网络安全事件应对中心NISC在 9月27日的联合通报 中详细说明了 BlackTech 的活动。这些机构指出，BlackTech 使用攻击手段来部署后门恶意软件，并建议跨国企业检查与子公司所有的网络连接，同时列出了一系列应对该 APT 组织所带来的风险的安全措施。

“BlackTech 影响者已经通过不同变体的自定义固件后门，侵入多个 Cisco 路由器。这些后门功能是通过特殊设计的 TCP 或 UDP 包来启用和禁用的。”该公告中写道。

根据通报，“在某些情况下，BlackTech 影响者用恶意固件替换某些基于 Cisco IOS 的路由器的固件。虽然 BlackTech 影响者已经拥有了在路由器上通过命令行执行的升级权限，但恶意固件则用于建立持久的后门访问并模糊未来的恶意活动。”

这些自2010年以来活跃的组织，其使用的技术不仅限于 Cisco 路由器，还可应用于其他网络设备。

“该组织通过黑进网络边缘设备并植入恶意固件的战术，体现了其卓越的技术能力及维持长期隐秘访问的策略。” Critical Start 的网络威胁研究高级经理 Callie Guenther 表示。

可能使用被盗或弱口令访问

在对此通报的回应中，Cisco 表示，BlackTech 帮派进行攻击的最常见途径是使用被盗或弱口令的管理凭证。

“没有任何迹象表明有任何 Cisco 漏洞被利用。攻击者利用被泄露的凭证执行管理级配置和软件更改。”该公司表示。

通报指出，威胁行动者还使用被盗的代码签名证书来签署其在攻击中埋下的恶意负载，但 Cisco 表示不知其证书有被盗用于攻击其设备的情况。

xfcc旋风加速官网

Viakoo Labs 的副总裁 John Gallagher 指出，路由器和其他物联网IoT设备是威胁群体进行访问的流行手段，因为它们通常不在 IT 部门的直接管理之下，且安全性固有较差。

他补充说，边缘、物联网和运营技术设备面临著固件安全分发不足的问题。

“许多固件包未经数位签名，甚至更糟的是，经常通过搜索引擎下载到可能指向受损固件的连结。 在将新固件部署到