Przypomnijmy podstawowe fakty z raportuodkrywców zagrożenia, firmy FireEye. W routerach Cisco 1841,2811 i 3825, a możliwe że także i w innych modelach, natrafiono nazmodyfikowane firmware, które wyczekuje na konkretny ciąg wysłanychdo nich pakietów TCP i po jego otrzymaniu oddaje napastnikowi zdalnydostęp do wszystkich funkcji urządzenia. Filtry nie mają tuznaczenia, furtka i tak nasłuchuje wszystkiego, a gdy napotkanazostanie „magiczna” sekwencja, router wykona wysłaną następniesekwencję poleceń do wykonania. Polecenia te pozwalają nazarządzanie dodatkowymi modułami malware, przechowywanymi już wpamięci podręcznej routera, zalogowanie napastnika po podaniu jegotajnego hasła przez połączenie (sic!) telnetem, oraz podniesieniejego uprawnień.
Jako że furtka wbudowana jest w samo firmware, restart urządzenianic tu nie pomoże, usunie co najwyżej aktywne moduły, którewgrane zostaną zaraz po ponownym nawiązaniu komunikacji znapastnikiem. Wykrycie jej przez analizę rozmiarów systemu też niejest łatwe. To polimorficzne zagrożenie – jak wyjaśniająeksperci FireEye, złośliwy kod nadpisuje nieużywane funkcje IOS-a(systemu operacyjnego Cisco), w sposób specyficzny dla konkretnejmaszyny.
Z przedstawionych przez odkrywców danych wynikało, że w Sieciznaleziono 14 zainfekowanych tak routerów. Nie wiadomo do tej pory,jak dochodzi do infekcji, być może złośliwe oprogramowaniewgrywane jest np. przez samych dostawców sprzętu? W sierpniu tegoroku Cisco samoostrzegało o wypadkach zmodyfikowania firmware przez napastnikówdysponujących uprawnieniami administracyjnymi lub fizycznym dostępemdo jego maszyn.
Na 14 routerach się jednak sprawa nie kończy. Dzięki temu, żeFireEye dokładnie opisało metodę wykrycia złośliwego firmware,deweloperzy skanera sieciowego ZMappostanowili na własną rękę poszukać przejętych routerów.Znaleziono ich sporo więcej. Po czterokrotnym skanie Internetu ichliczba wzrosła do 79. Najwięcej jest ich w USA, aż 25, ale sporoznajdziemy też w Libanie, Rosji i Indiach. Jeden z routerówzlokalizowano też w Polsce. Adresów IP publicznie nie podano,ludzie od ZMapa kontaktują się z ofiarami indywidualnie.
Wiadomo za to, że wszystkie 25 hostów z USA należy do jednegodostawcy Internetu ze Wschodniego Wybrzeża, zaś hosty z Libanu iNiemiec należą do jednego satelitarnego operatora, który swoimzasięgiem obejmuje całą Afrykę. W ogóle zaskakuje spora liczbamaszyn z krajów Azji i Afryki, w stosunku do dostępnej w tychkrajów przestrzeni adresowej – czyżby napastnik był szczególniezainteresowany właśnie tymi regionami ? W Sieci pojawiają się jużplotki, w których mówi się o operacji służb Izraela.
Pociechą w tym wszystkim jest tylko to, że administratorzyrouterów Cisco mogą łatwo sprawdzić, czy firmware ich sprzętujest oryginalny. Niezbędne do tego informacje znajdują się nabloguproducenta.