r   e   k   l   a   m   a
r   e   k   l   a   m   a

Furtka idealna dla szpiegów? Wśród zakażonych routerów Cisco znalazł się też sprzęt z Polski

Strona główna AktualnościBEZPIECZEŃSTWO

Odkrycie malware typu APT (Advanced Persistent Threat), mogącego kryć się w firmware routerów Cisco poruszyło ekspertów zajmujących się bezpieczeństwem sieciowym. Nie są to bowiem w końcu proste urządzenia, jakie stoją w naszych domach, lecz sprzęt odpowiadający za ruch na poziomie sieci bazowej Internetu. Napastnik mający dostęp do furtki otwieranej mu przez malware mógłby swobodnie inwigilować komunikację na ogromną skalę. Czy jednak nie jest to kolejne wydumane zagrożenie, rozdmuchiwane przez odkrywców dla uzyskania rozgłosu? Niestety nie. Najnowsze dane pokazują, że w całym Internecie działało 79 routerów z furtkami – a jeden z nich znajduje się w Polsce.

Przypomnijmy podstawowe fakty z raportu odkrywców zagrożenia, firmy FireEye. W routerach Cisco 1841, 2811 i 3825, a możliwe że także i w innych modelach, natrafiono na zmodyfikowane firmware, które wyczekuje na konkretny ciąg wysłanych do nich pakietów TCP i po jego otrzymaniu oddaje napastnikowi zdalny dostęp do wszystkich funkcji urządzenia. Filtry nie mają tu znaczenia, furtka i tak nasłuchuje wszystkiego, a gdy napotkana zostanie „magiczna” sekwencja, router wykona wysłaną następnie sekwencję poleceń do wykonania. Polecenia te pozwalają na zarządzanie dodatkowymi modułami malware, przechowywanymi już w pamięci podręcznej routera, zalogowanie napastnika po podaniu jego tajnego hasła przez połączenie (sic!) telnetem, oraz podniesienie jego uprawnień.

Jako że furtka wbudowana jest w samo firmware, restart urządzenia nic tu nie pomoże, usunie co najwyżej aktywne moduły, które wgrane zostaną zaraz po ponownym nawiązaniu komunikacji z napastnikiem. Wykrycie jej przez analizę rozmiarów systemu też nie jest łatwe. To polimorficzne zagrożenie – jak wyjaśniają eksperci FireEye, złośliwy kod nadpisuje nieużywane funkcje IOS-a (systemu operacyjnego Cisco), w sposób specyficzny dla konkretnej maszyny.

r   e   k   l   a   m   a

Z przedstawionych przez odkrywców danych wynikało, że w Sieci znaleziono 14 zainfekowanych tak routerów. Nie wiadomo do tej pory, jak dochodzi do infekcji, być może złośliwe oprogramowanie wgrywane jest np. przez samych dostawców sprzętu? W sierpniu tego roku Cisco samo ostrzegało o wypadkach zmodyfikowania firmware przez napastników dysponujących uprawnieniami administracyjnymi lub fizycznym dostępem do jego maszyn.

Na 14 routerach się jednak sprawa nie kończy. Dzięki temu, że FireEye dokładnie opisało metodę wykrycia złośliwego firmware, deweloperzy skanera sieciowego ZMap postanowili na własną rękę poszukać przejętych routerów. Znaleziono ich sporo więcej. Po czterokrotnym skanie Internetu ich liczba wzrosła do 79. Najwięcej jest ich w USA, aż 25, ale sporo znajdziemy też w Libanie, Rosji i Indiach. Jeden z routerów zlokalizowano też w Polsce. Adresów IP publicznie nie podano, ludzie od ZMapa kontaktują się z ofiarami indywidualnie.

Wiadomo za to, że wszystkie 25 hostów z USA należy do jednego dostawcy Internetu ze Wschodniego Wybrzeża, zaś hosty z Libanu i Niemiec należą do jednego satelitarnego operatora, który swoim zasięgiem obejmuje całą Afrykę. W ogóle zaskakuje spora liczba maszyn z krajów Azji i Afryki, w stosunku do dostępnej w tych krajów przestrzeni adresowej – czyżby napastnik był szczególnie zainteresowany właśnie tymi regionami ? W Sieci pojawiają się już plotki, w których mówi się o operacji służb Izraela.

Pociechą w tym wszystkim jest tylko to, że administratorzy routerów Cisco mogą łatwo sprawdzić, czy firmware ich sprzętu jest oryginalny. Niezbędne do tego informacje znajdują się na blogu producenta.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.