W ubiegły wtorek firma Mandiant (jej właścicielem jest obecnie FireEye) wydała ostrzeżenie związane z atakami, które polegają na podmianie firmware'u routerów firmy Cisco Systems. Złośliwy kod o nazwie SYNful Knock umożliwia napastnikom zdalny dostęp oraz instalację własnych modułów, również zawierających złośliwy kod. Przejęcie kontroli nad routerami oznacza możliwość przechwytywania ruchu, jego modyfikacji, w tym także przekierowania użytkowników na podstawione strony WWW i prowadzenie innych ataków. W ten sposób napastnicy mogą także uzyskać dostęp do sieci, które nie byłyby dostępne z Internetu.

Anatomia ataku

Jak informuje na blogu firma FireEye, przy początkowym ataku najprawdopodobniej nie wykorzystywano żadnej podatności dnia zerowego, a jedynie wykorzystano domyślne lub możliwe do odgadnięcia hasła. Po zainstalowaniu backdoora, przejęty router staje się idealnym miejscem do przeprowadzenia dalszych ataków. Znalezienie koni trojańskich w firmowej sieci nie jest prostym zadaniem, znalezienie routera, w którym taki koń trojański działa jest jeszcze trudniejsze. Implant wprowadzony do oryginalnego obrazu routera Cisco IOS umożliwia napastnikom anonimowe załadowanie dodatkowych modułów funkcjonalnych oraz zapewnia zdalny dostęp przy pomocy tajnego hasła. Każdy z tych modułów jest uruchamiany za pomocą specjalnie przygotowanych pakietów o niestandardowej sekwencji TCP wysyłanych w otwartym połączeniu HTTP. Moduły są niezależnym kodem wykonywalnym lub hookiem w kodzie IOS.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Cisco wzmacnia bezpieczeństwo dwóch platform sieciowych
• Cisco i Microsoft transmitują dane z prędkością 800 Gb/s

Przejęte urządzenia

Routery, nad którymi napastnicy przejęli kontrolę, są urządzeniami klasy profesjonalnej, wykorzystywanymi przez firmy, operatorów internetowych lub hostingowych, a zatem atak automatycznie przekłada się na zagrożenie dla wielu końcowych użytkowników. Badacze poinformowali producenta o problemie kilka miesięcy temu, dostępne są instrukcje utwardzenia konfiguracji urządzeń. W chwili wydania ostrzeżenia wykryto 14 zarażonych routerów (modele 1841, 2811 oraz 3825) działających w czterech krajach: Meksyku, Indiach, na Ukrainie i Filipinach.

Zarażonych routerów jest coraz więcej

Routery Cisco są dość istotnym celem i firma Mandiant od początku podejrzewała, że przejętych urządzeń może być znacznie więcej, niż sądzono. Organizacja wolontariuszy Shadowserver Foundation, zajmująca się śledzeniem aktywności cyberprzestępców i pomagająca w likwidacji botnetów potwierdziła te podejrzenia. Przeprowadzony z pomocą Cisco skan urządzeń dostępnych z Internetu udowodnił, że routerów wykazujących aktywność, która wskazuje na przejęcie nad nimi kontroli jest znacznie więcej – badacze zidentyfikowali 199 adresów IP w 31 krajach. Najwięcej takich routerów wykryto w USA (65 urządzeń), 12 odkryto w Indiach i 11 w Rosji. Podczas pierwszego skanowania w Polsce wykryto jeden taki router (informacja ze strony zmap.io), a kolejny skan udowodnił, że w naszym kraju jest ich aż 9.

Shadowserver planuje wprowadzenie bezpłatnej usługi powiadomień o odkryciu przejętego routera w adresacji IP należącej do danej firmy.