Een Amerikaans telecombedrijf is onlangs aangevallen via router-firmware waar nog onbekende aanvallers malware in hadden verstopt. Als de IT-afdeling van het bedrijf de upgrade had uitgerold, zou de malware automatisch zijn verspreid onder alle computers die met het bedrijfsnetwerk verbonden waren, zo meldt Foreign Policy.

"We hadden een groep aanvallers die al een tijd binnen een bedrijf aanwezig waren, en we ontdekten dat ze het bedrijfsonderdeel hadden geïdentificeerd dat de router-upgrades verzorgde", zegt de bekende beveiligingsexpert Richard Bejtlich, CSO bij beveiligingsbedrijf Mandiant.

Image
"De aanvallers hadden een kopie van de image van de routersoftware gemaakt, gedecompileerd en vervolgens kwaadaardige features aan de router-image toegevoegd en teruggeplaatst waar de systeembeheerders van het bedrijf ze vervolgens naar de routers zouden kopieren." Na de installatie zouden de aanvallers ongestoord door het bedrijfsnetwerk kunnen gaan.

De router-images zijn volgens Bejtlich bij het bedrijf zelf buitgemaakt, die in veel gevallen over eigen 'repositories' met images beschikken, of bij Cisco gedownload. "Hoewel het een niche is, zijn er mensen die zich specialiseren in het uit elkaar halen van Cisco router-images", laat Bejtlich weten.

Controle
Bedrijven kunnen zich eenvoudig hier tegen beschermen door de digitale handtekening van het bestand te controleren. "Dan durf ik te wedden dat je het vindt." Bejtlich merkt op dat in dit voorbeeld de systeembeheerders de aanval net op tijd ontdekten, maar dat andere bedrijven waarschijnlijk niet zoveel geluk hebben.

In 2010 werd een bekende Nederlandse zuivelcoöperatie aangevallen via firmware voor een systeem waarmee de SCADA-apparatuur werd aangestuurd. In de firmware zat een variant van de Confickerworm verstopt.