Furtka idealna dla szpiegów? Wśród zakażonych routerów Cisco znalazł się też sprzęt z Polski
Odkrycie malware typu APT (Advanced Persistent Threat), mogącegokryć się w firmware routerów Cisco poruszyło ekspertówzajmujących się bezpieczeństwem sieciowym. Nie są to bowiem wkońcu proste urządzenia, jakie stoją w naszych domach, lecz sprzętodpowiadający za ruch na poziomie sieci bazowej Internetu. Napastnikmający dostęp do furtki otwieranej mu przez malware mógłbyswobodnie inwigilować komunikację na ogromną skalę. Czy jednaknie jest to kolejne wydumane zagrożenie, rozdmuchiwane przezodkrywców dla uzyskania rozgłosu? Niestety nie. Najnowsze danepokazują, że w całym Internecie działało 79 routerów z furtkami– a jeden z nich znajduje się w Polsce.
Przypomnijmy podstawowe fakty z raportuodkrywców zagrożenia, firmy FireEye. W routerach Cisco 1841,2811 i 3825, a możliwe że także i w innych modelach, natrafiono nazmodyfikowane firmware, które wyczekuje na konkretny ciąg wysłanychdo nich pakietów TCP i po jego otrzymaniu oddaje napastnikowi zdalnydostęp do wszystkich funkcji urządzenia. Filtry nie mają tuznaczenia, furtka i tak nasłuchuje wszystkiego, a gdy napotkanazostanie „magiczna” sekwencja, router wykona wysłaną następniesekwencję poleceń do wykonania. Polecenia te pozwalają nazarządzanie dodatkowymi modułami malware, przechowywanymi już wpamięci podręcznej routera, zalogowanie napastnika po podaniu jegotajnego hasła przez połączenie (sic!) telnetem, oraz podniesieniejego uprawnień.
Jako że furtka wbudowana jest w samo firmware, restart urządzenianic tu nie pomoże, usunie co najwyżej aktywne moduły, którewgrane zostaną zaraz po ponownym nawiązaniu komunikacji znapastnikiem. Wykrycie jej przez analizę rozmiarów systemu też niejest łatwe. To polimorficzne zagrożenie – jak wyjaśniająeksperci FireEye, złośliwy kod nadpisuje nieużywane funkcje IOS-a(systemu operacyjnego Cisco), w sposób specyficzny dla konkretnejmaszyny.
Z przedstawionych przez odkrywców danych wynikało, że w Sieciznaleziono 14 zainfekowanych tak routerów. Nie wiadomo do tej pory,jak dochodzi do infekcji, być może złośliwe oprogramowaniewgrywane jest np. przez samych dostawców sprzętu? W sierpniu tegoroku Cisco samoostrzegało o wypadkach zmodyfikowania firmware przez napastnikówdysponujących uprawnieniami administracyjnymi lub fizycznym dostępemdo jego maszyn.
Na 14 routerach się jednak sprawa nie kończy. Dzięki temu, żeFireEye dokładnie opisało metodę wykrycia złośliwego firmware,deweloperzy skanera sieciowego ZMappostanowili na własną rękę poszukać przejętych routerów.Znaleziono ich sporo więcej. Po czterokrotnym skanie Internetu ichliczba wzrosła do 79. Najwięcej jest ich w USA, aż 25, ale sporoznajdziemy też w Libanie, Rosji i Indiach. Jeden z routerówzlokalizowano też w Polsce. Adresów IP publicznie nie podano,ludzie od ZMapa kontaktują się z ofiarami indywidualnie.
Wiadomo za to, że wszystkie 25 hostów z USA należy do jednegodostawcy Internetu ze Wschodniego Wybrzeża, zaś hosty z Libanu iNiemiec należą do jednego satelitarnego operatora, który swoimzasięgiem obejmuje całą Afrykę. W ogóle zaskakuje spora liczbamaszyn z krajów Azji i Afryki, w stosunku do dostępnej w tychkrajów przestrzeni adresowej – czyżby napastnik był szczególniezainteresowany właśnie tymi regionami ? W Sieci pojawiają się jużplotki, w których mówi się o operacji służb Izraela.
Pociechą w tym wszystkim jest tylko to, że administratorzyrouterów Cisco mogą łatwo sprawdzić, czy firmware ich sprzętujest oryginalny. Niezbędne do tego informacje znajdują się nabloguproducenta.
