Un groupe de pirates informatiques d’état utiliserait activement des portes dérobées d’appareils réseautiques, afin d’accéder aux réseaux d’entreprise et à la propriété intellectuelle.
Les forces de police conjointes des Etats-Unis et du Japon mettent en garde dans un rapport contre un groupe de hackers capables de modifier le firmware (microcode) de routeurs pour contourner la sécurité. Le rapport émane du FBI, de la NSA, de la CISA, de l’agence japonaise de cybersécurité NISC et de la police nippone NPA. Les services y affirment que le groupe BlackTech exploite actuellement des routeurs de Cisco pour pénétrer dans les réseaux d’entreprises internationales. Ils se concentreraient principalement sur les filiales internationales, avant de se diriger vers les sièges sociaux des grandes entreprises.
BlackTech est un groupe sophistiqué de hackers, parrainé par l’état chinois et surtout connu pour espionner des organisations au Japon, à Taiwan et à Hong Kong. Dans le rapport, le FBI parle de logiciels malveillants personnalisés, qui sont souvent modifiés pour trouver des portes dérobées dans divers équipements de réseau. Le groupe les utilise pour accéder aux réseaux d’entreprise, voler des données et transférer le trafic vers des serveurs contrôlés par les attaquants eux-mêmes.
L’objectif est spécifiquement de rester dans le réseau pendant une période assez longue. C’est pourquoi les agresseurs modifient souvent le firmware des routeurs, afin que leur présence reste cachée. Ils rétrograderaient également le microcode des appareils vers une version antérieure pour contourner les nouvelles fonctionnalités de sécurité dans certains cas. Selon Cisco, cela ne se produirait cependant qu’avec d’anciens modèles. Toujours selon l’entreprise, rien n’indique pour l’instant que des vulnérabilités spécifiques de ses routeurs soient exploitées.
Le rapport se concentre principalement sur les routeurs de Cisco, mais observe que les mêmes techniques pourraient également être utilisées par d’autres fournisseurs.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici