La NSA, le FBI, la CISA et deux agences de sécurité gouvernementales japonaises affirment que le groupe de cyberpirates chinois BlackTech est en train d’installer des portes dérobées sur des routeurs Cisco.
Ces pirates sont connus pour « se cacher dans le micrologiciel des routeurs », précise l’avis de sécurité. BlackTech utiliserait la désactivation de la journalisation des routeurs et le déploiement de logiciels malveillants personnalisés pour dissimuler ses opérations.
L’avis recommande des stratégies d’atténuation telles que la désactivation des connexions sortantes, la surveillance des connexions réseau, la limitation de l’accès aux services administratifs, la mise à niveau des appareils et la surveillance des modifications apportées aux microprogrammes. Les entreprises multinationales, en particulier, sont invitées à « examiner toutes les connexions de leurs filiales, vérifier l’accès et envisager la mise en œuvre de modèles de confiance zéro afin de limiter l’étendue d’une compromission potentielle par BlackTech ».
Cisco rétorque que rien n’indique que les vulnérabilités de ses produits ont été exploitées et précise que certaines méthodes utilisées par les acteurs de la menace ne sont possibles que sur des routeurs Cisco anciens : « Les versions modernes des appareils Cisco ont des fonctions de démarrage sécurisé qui ne permettent pas le chargement et l’exécution d’images logicielles modifiées ».