Furtka idealna dla szpiegów? Wśród zakażonych routerów Cisco znalazł się też sprzęt z Polski

Furtka idealna dla szpiegów? Wśród zakażonych routerów Cisco znalazł się też sprzęt z Polski17.09.2015 11:34

Odkrycie malware typu APT (Advanced Persistent Threat), mogącegokryć się w firmware routerów Cisco poruszyło ekspertówzajmujących się bezpieczeństwem sieciowym. Nie są to bowiem wkońcu proste urządzenia, jakie stoją w naszych domach, lecz sprzętodpowiadający za ruch na poziomie sieci bazowej Internetu. Napastnikmający dostęp do furtki otwieranej mu przez malware mógłbyswobodnie inwigilować komunikację na ogromną skalę. Czy jednaknie jest to kolejne wydumane zagrożenie, rozdmuchiwane przezodkrywców dla uzyskania rozgłosu? Niestety nie. Najnowsze danepokazują, że w całym Internecie działało 79 routerów z furtkami– a jeden z nich znajduje się w Polsce.

Przypomnijmy podstawowe fakty z raportuodkrywców zagrożenia, firmy FireEye. W routerach Cisco 1841,2811 i 3825, a możliwe że także i w innych modelach, natrafiono nazmodyfikowane firmware, które wyczekuje na konkretny ciąg wysłanychdo nich pakietów TCP i po jego otrzymaniu oddaje napastnikowi zdalnydostęp do wszystkich funkcji urządzenia. Filtry nie mają tuznaczenia, furtka i tak nasłuchuje wszystkiego, a gdy napotkanazostanie „magiczna” sekwencja, router wykona wysłaną następniesekwencję poleceń do wykonania. Polecenia te pozwalają nazarządzanie dodatkowymi modułami malware, przechowywanymi już wpamięci podręcznej routera, zalogowanie napastnika po podaniu jegotajnego hasła przez połączenie (sic!) telnetem, oraz podniesieniejego uprawnień.

Jako że furtka wbudowana jest w samo firmware, restart urządzenianic tu nie pomoże, usunie co najwyżej aktywne moduły, którewgrane zostaną zaraz po ponownym nawiązaniu komunikacji znapastnikiem. Wykrycie jej przez analizę rozmiarów systemu też niejest łatwe. To polimorficzne zagrożenie – jak wyjaśniająeksperci FireEye, złośliwy kod nadpisuje nieużywane funkcje IOS-a(systemu operacyjnego Cisco), w sposób specyficzny dla konkretnejmaszyny.

Z przedstawionych przez odkrywców danych wynikało, że w Sieciznaleziono 14 zainfekowanych tak routerów. Nie wiadomo do tej pory,jak dochodzi do infekcji, być może złośliwe oprogramowaniewgrywane jest np. przez samych dostawców sprzętu? W sierpniu tegoroku Cisco samoostrzegało o wypadkach zmodyfikowania firmware przez napastnikówdysponujących uprawnieniami administracyjnymi lub fizycznym dostępemdo jego maszyn.

Zainfekowane routery Cisco na mapie świata (źródło: zmap.io)
Zainfekowane routery Cisco na mapie świata (źródło: zmap.io)

Na 14 routerach się jednak sprawa nie kończy. Dzięki temu, żeFireEye dokładnie opisało metodę wykrycia złośliwego firmware,deweloperzy skanera sieciowego ZMappostanowili na własną rękę poszukać przejętych routerów.Znaleziono ich sporo więcej. Po czterokrotnym skanie Internetu ichliczba wzrosła do 79. Najwięcej jest ich w USA, aż 25, ale sporoznajdziemy też w Libanie, Rosji i Indiach. Jeden z routerówzlokalizowano też w Polsce. Adresów IP publicznie nie podano,ludzie od ZMapa kontaktują się z ofiarami indywidualnie.

Wiadomo za to, że wszystkie 25 hostów z USA należy do jednegodostawcy Internetu ze Wschodniego Wybrzeża, zaś hosty z Libanu iNiemiec należą do jednego satelitarnego operatora, który swoimzasięgiem obejmuje całą Afrykę. W ogóle zaskakuje spora liczbamaszyn z krajów Azji i Afryki, w stosunku do dostępnej w tychkrajów przestrzeni adresowej – czyżby napastnik był szczególniezainteresowany właśnie tymi regionami ? W Sieci pojawiają się jużplotki, w których mówi się o operacji służb Izraela.

Pociechą w tym wszystkim jest tylko to, że administratorzyrouterów Cisco mogą łatwo sprawdzić, czy firmware ich sprzętujest oryginalny. Niezbędne do tego informacje znajdują się nabloguproducenta.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na