目前，國家支持的駭客入侵大品牌路由器和其他網路設備已經不是什麼新鮮事了。一個名為”BlackTech”的知名中國網路犯罪集團正積極瞄準思科路由器進行敏感資料外洩。美國國家安全局（NSA）、聯邦調查局（FBI）、網路安全和基礎設施安全局（CISA）與日本警方和網路安全當局共同發布了一份聯合公告，詳細描述了BlackTech 的活動，並提供了緩解攻擊後果的建議。

BlackTech 也被稱為Palmerworm、Temp.Overboard、Circuit Panda 和Radio Panda，自2010 年以來一直很活躍。報告稱，這些網路犯罪分子源自中國，他們歷來以美國和東亞的政府、工業、媒體、電子、電信和國防承包商等組織為攻擊目標。

該網路行為者專門開發客製化惡意軟體和”客製化持久機制”，以入侵流行的路由器品牌。美國和日本警告說，這些客製化惡意程式包括停用日誌記錄、濫用可信任域關係和破壞敏感資料等危險功能。該警告包括特定惡意軟體菌株的清單，例如BendyBear、Bifrose、SpiderPig 和WaterBear，這些惡意軟體用於攻擊Windows、Linux 甚至FreeBSD 作業系統。

該公告沒有提供任何關於BlackTech 使用何種方法獲取受害者設備的初始訪問權限的線索，其中可能包括普通的被盜憑證，甚至是一些未知的、”非常複雜的”0-day 安全漏洞。進入後，網路犯罪分子會濫用思科IOS 命令列介面(CLI)，並用受攻擊的韌體鏡像取代官方路由器韌體。

公告警告說，這一過程始於透過”熱補丁”技術修改記憶體中的固件，這是安裝修改過的引導程式和修改過的韌體所需的入口點。安裝完成後，修改後的韌體就可以繞過路由器的安全功能，實現後門訪問，在日誌中不留痕跡，並避開存取控制清單（ACL）限制。

為了偵測和挫敗BlackTech 的惡意活動，建議公司和組織遵循一些”最佳緩解措施”。IT 人員應透過對虛擬電傳打字機(VTY) 線路套用”transport output none”設定指令來停用出站連接，監控入站和出站連接，限制存取並監控日誌。

各組織也應該用最新韌體版本升級網路設備，在擔心單一密碼外洩時更改所有密碼和金鑰，定期執行檔案和記憶體驗證，並監控韌體的變更。美國和日本針對被入侵的思科路由器發出警告，但聯合公告中描述的技術可以輕鬆適用於其他知名品牌的網路設備。

了解更多：

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a