Chính quyền Hoa Kỳ và Nhật Bản cảnh báo rằng nhóm APT BlackTech đã cài đặt backdoor trong firmware của router Cisco, nhằm tấn công các doanh nghiệp ở cả hai quốc gia.
BlackTech là nhóm APT của Trung Quốc hoạt động ít nhất từ năm 2010 và được biết đến với việc thực hiện các chiến dịch gián điệp mạng ở châu Á, nhắm vào các đơn vị, tổ chức ở Hồng Kông, Nhật Bản và Đài Loan. Nhiều lĩnh vực bị nhắm tới bao gồm quốc phòng, chính phủ, điện tử, viễn thông, công nghệ, truyền thông, các ngành viễn thông.
Nhóm APT tập trung vào các router chi nhánh, thường là các thiết bị nhỏ hơn được sử dụng tại các văn phòng chi nhánh ở xa để kết nối với trụ sở công ty, lợi dụng chúng để chuyển sang mạng công ty.
Trong chiến dịch tấn công, BlackTech sử dụng nhiều dòng mã độc tùy chỉnh như BendyBear, Bifrose, BTSDoor, FakeDead (còn gọi là TSCookie), FlagPro, FrontShell (mô-đun tải xuống của FakeDead), IconDown, PLEAD, SpiderPig, SpiderSpring, SpiderStack, WaterBear.
Các chuyên gia chính phủ cho biết, nhóm APT Trung Quốc liên tục cập nhật các công cụ trong kho vũ khí của mình để tránh bị phát hiện. Trong một số trường hợp, nhóm đã ký mã độc bằng các chứng chỉ đánh cắp được để trốn tránh cơ chế an ninh.
Nguồn: Security Affairs