ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı, NSA ve FBI’ın yanı sıra Japonya Ulusal Polis Teşkilatı (NPA) ve Ulusal Olaylara Hazırlık ve Siber Güvenlik Stratejisi Merkezi Çarşamba günü yayınladıkları ortak bir bildiride, Çin yönetimi destekli bir siber casusluk çetesi olan BlackTech’in tespit edilmeden yönlendirici aygıt yazılımını değiştirebileceği ve ağ üzerinden cihazlara bulaşabileceği uyarısında bulundu. Açıklamada Cisco router vurgusu dikkat çekici.
Yayınlanan ortak bildiride ” BlackTech, yönlendirici aygıt yazılımını tespit edilmeden değiştirme ve yönlendiricilerin etki alanı-güven ilişkilerinden yararlanarak uluslararası iştiraklerden birincil hedefler olan Japonya ve ABD’deki merkezlere sıçrama yeteneklerine sahiptir” ifadeleri kullanılıyor.
Raporda BlackTech’in diğer ağ ekipmanlarında arka kapılar kurmak için benzer teknikler kullanabileceğini belirtilmekle birlikte özellikle Cisco donanımının vurgulanması dikkat çekici. Yapılan açıklamada şu ibareler yer alıyor: “BlackTech aktörleri Cisco yönlendiricinin CLI’sini kullanarak yönlendiricinin IOS görüntü aygıt yazılımını değiştirmektedir. Süreç, yönlendiricinin güvenlik özelliklerini atlayabilen değiştirilmiş bir önyükleyici ve değiştirilmiş ürün yazılımının yüklenmesine izin vermek için ürün yazılımının bellekte değiştirilmesiyle (hot patching olarak da adlandırılır) başlar. Ardından, özel olarak oluşturulmuş bir paket yönlendiriciyi tetikleyerek günlük kaydı ve erişim kontrol listesini (ACL) atlayan arka kapıyı etkinleştirir.”
Buna karşın Cisco yaptığı açıklamada “BlackTech’in bu bilgilendirici mahiyetteki raporda belirtildiği gibi herhangi bir Cisco güvenlik açığından yararlanıldığına dair net bir gösterge yoktur. Bugünkü uyarı aslında şirketlerin ağ cihazlarını güncellemeleri, yamalamaları ve güvenli bir şekilde yapılandırmaları gerektiğinin altını çiziyor” demekle yetindi.
Cisco güvenlik önlemlerini artırıyor
Eleştirilerin odağındaki Cisco siber güvenlik alanında büyük bir adım atarak siber güvenlik yazılımı devi Splunk ı 28 milyar dolarlık bir anlaşma ile satın alacağını duyurmuştu. Ayrıca firma ağ güvencesi ve gözlemlenebilirlik yeteneklerini güçlendirmek için iş ortağı Accedian’ı da satın almaya karar vermişti.
Palmerworm, Temp.Overboard, Circuit Panda ve Radio Panda olarak da bilinen bu hacker grubu aslında 2010 yılından bu yana faaliyet göstermekte ve ABD ve Doğu Asya’daki hükümet, sanayi, teknoloji, medya, elektronik, telekomünikasyon ve savunma oyuncularını hedef almakta. BlackTech, Windows, Linux ve FreeBSD işletim sistemlerine karşı çeşitli özel kötü amaçlı yazılım kodları kullanmakta. Saldırganlar özellikle router (yönlendirici) aygıt yazılımına sızıp belirli parametreleri değiştirdikten sonra veri toplama operasyonu başlatıyor.