Diversas organizações e agências de cibersegurança dos Estados Unidos e Japão têm sido alvos de ataques de um grupo de hackers chamado BlackTech, alegadamente ligado ao governo chinês. Segundo avança a The Record, desde 2010 que o grupo é indiciado pelo FBI, NSA e outras agências de cibersegurança dos dois países visados por explorar vulnerabilidades em routers durante os seus ataques.
Segundo é referido, o grupo tem vindo a modificar o firmware dos routers para proceder à atividade, apontando as empresas localizadas nos Estados Unidos e Japão. No seu modus operandis, a BlackTech começa por ganhar acesso às redes internas das subsidiárias, ganhando acesso a outros ramos da estrutura empresarial até chegar ao centro das organizações visadas.
Os hackers aproveitam-se assim da relação de confiança entre as redes das subsidiárias, ganhando acesso de administrador aos equipamentos edge das redes, modificando o firmmare dos mesmos para manter a persistência da sua permanência na rede.
A agência CISA alerta para a sofisticação e agressividade das operações globais do grupo chinês e na sua capacidade de ganhar acesso persistente, que no caso da BlackTech tem originado no roubo de propriedade intelectual e dados sensíveis. As organizações vítimas do grupo são da área pública e privada, nos Estados Unidos e Leste asiático. São afetadas empresas dos sectores industriais, da tecnologia, média, eletrónica e telecomunicações.
MAIS: Hackers chineses atacam agências governamentais dos EUA
O grupo utiliza malware personalizado para tentar cobrir os rastros ao desligar a capacidade de autenticação nos routers, dificultando as ações de investigação. E os hackers atualizam as suas ferramentas para roubar certificados de autenticação, para que o software malicioso pareça legítimo. O grupo ataca pequenos equipamentos utilizados em escritórios mais remotos, mas ligados às sedes dos grupos.
Várias marcas de routers foram exploradas, mas diversas versões da Cisco foram alvo de malware personalizado. O respetivo firmware foi substituído, concedendo privilégios na rede. Em certos casos, os hackers conseguiram usar uma ferramenta da Cisco para automatizar tarefas que permitiam automaticamente remover os rastros do seu trabalho malicioso, refere a publicação.
No fim de setembro, hackers chineses aproveitaram uma falha da Microsoft para aceder a mais de 60 mil emails do Governo dos Estados Unidos. E o ataque aproveitou a entrada num equipamento de um engenheiro da gigante tecnológica, abrindo caminho de acesso a várias contas de funcionários federais.