De Amerikaanse overheid heeft vandaag een waarschuwing gegeven voor een groep aanvallers genaamd BlackTech die de firmware van Cisco-routers vervangt en voorziet van een gebackdoorde versie. De groep zou aan de Chinese overheid gelieerd zijn, aldus de Amerikaanse geheime dienst NSA, de FBI, het Cybersecurity and Infrastructure Security Agency en de Japanse politie. De primaire doelen van de aanvallers bevinden zich ook in de VS en Japan.

Zodra de aanvallers beheerderstoegang tot de routers hebben gekregen wordt aangepaste firmware geüpload, waarmee de aanvallers hun activiteiten kunnen verbergen en toegang tot het netwerk behouden. Om de beveiliging van de Cisco-routers te omzeilen wordt eerst een oudere, legitieme firmware-versie geïnstalleerd, die dan in het geheugen wordt aangepast om zo de installatie van een aangepaste, niet-gesigneerde bootloader mogelijk te maken en zo aangepaste, niet-gesigneerde firmware te installeren. De aangepaste bootloader moet detectie van de aangepaste firmware voorkomen.

Tevens maken de aanvallers gebruik van Embedded Event Manager (EEM) policies om hun aanwezigheid te verbergen. Via de EEM policies worden resultaten van commandline commando's gemanipuleerd. Volgens de Amerikaanse overheidsdiensten en Japanse politie is de waarschuwing niet alleen beperkt tot Cisco-routers, aangezien de gebruikte technieken ook bij andere routers zijn toe te passen.

Om de aanvallen te voorkomen en detecteren worden verschillende best practices gegeven, zoals het regelmatig monitoren van firmware-aanpassingen, bestands- en geheugenverificatie uitvoeren, logs op ongeautoriseerde herstarts controleren of versie-aanpassingen, in- en uitgaande verbindingen naar de routers monitoren en uitgaande verbindingen uitschakelen.