Seit 2010 führt eine Hackergruppe namens BlackTech APT Cyberangriffe durch, wobei ihre Zielscheiben von Regierungsbehörden über technologische Infrastrukturen bis hin zu militärischen Einrichtungen reichen.
Um ihre Aktivitäten zu verschleiern, setzen diese Angreifer auf maßgeschneiderte Malware, multifunktionale Tools und trickreiche Methoden, wie das Abschalten von Datenregistrierungsfunktionen von Routern. Sowohl die Japanische Nationalpolizeibehörde (NPA) als auch die US-Behörde für Cybersicherheit und Infrastrukturschutz (CISA) haben festgestellt, dass BlackTech in der Lage ist, Router-Firmware unbemerkt zu ändern und dabei Domain-Vertrauensverhältnisse der Router zu nutzen, um international agierenden Unternehmen den Zugriff auf Hauptstandorte in Japan und den USA zu ermöglichen.
Diese Kriminellen aktualisieren ständig ihre Tools und stehlen Code-Signaturzertifikate, um ihre Malware authentisch erscheinen zu lassen. Die von BlackTech verwendete maßgeschneiderte Malware ist mit verschiedenen Betriebssystemen wie Windows®, Linux® und FreeBSD® kompatibel. Zudem verwenden die Angreifer Methoden, die sich unauffällig in normale Netzwerkaktivitäten integrieren, um von Erkennungstools unentdeckt zu bleiben.
Der aktuelle Angriff der Gruppe richtet sich gegen ausländische Niederlassungen von amerikanischen und japanischen Unternehmen. Nach dem Eindringen in interne Netzwerke dieser Unternehmen können sie sich bis zu den Netzwerken der Hauptniederlassungen durchbewegen.
Berichten zufolge nutzen die BlackTech-Akteure vertrauenswürdige Netzwerkverbindungen zwischen bekannten Opfern und anderen Einrichtungen, um weiteren Zugriff auf Zielnetzwerke zu erlangen. Sie machten sich verschiedene Routermodelle von Unternehmen wie Cisco zunutze. Insbesondere bei Cisco-Routern verstecken sie sich in den „Embedded Event Manager“ (EEM) Regeln.
CISA und NPA haben Maßnahmen vorgeschlagen, um die schädlichen Aktivitäten von BlackTech zu unterbinden, und raten Netzwerkverteidigern dringend, ungewöhnlichen Datenverkehr, Neustarts und unerlaubte Downloads von Bootladeprogrammen und Firmware-Images im Auge zu behalten.