Cisco lanceert scanner voor vinden van gehackte routers
Cisco heeft een scanner gelanceerd waarmee organisaties gehackte routers op hun netwerk kunnen vinden waarvan de firmware is aangepast. Aanvallers blijken via gestolen wachtwoorden of fysieke toegang Cisco-routers te hacken en installeren vervolgens een aangepast besturingssysteem.
Dit aangepaste besturingssysteem wordt de SYNful Knock-malware genoemd. Via de malware blijven de aanvallers toegang tot het bedrijfsnetwerk houden, ook al wordt de router gereset. Onlangs voerde Cisco een scan uit op internet en ontdekte 199 IP-adressen die met de SYNful Knock-malware waren besmet. Nu heeft Cisco een tool ontwikkeld waarmee klanten gehackte routers op hun eigen netwerk kunnen vinden. Het gaat in dit geval alleen om routers die met de SYNful Knock-malware zijn besmet.
De tool komt wel met een gebruiksaanwijzing. Het draaien van de tool via Network address translation (NAT) kan de nauwkeurigheid van de tool beïnvloeden en ervoor zorgen dat de tool gehackte routers niet detecteert. Cisco adviseert dan ook om de tool vanaf een netwerklocatie uit te voeren waar er geen NAT tussen het scansysteem en de routers is.
Chinees ?
Yank is zeker zo aannemelijk.
Chinees ?
Yank is zeker zo aannemelijk.
Absoluut, ik herinner me dat ik gelezen heb dat bestelde routers altijd een tripje maakten langs de NSA voordat ze naar de besteller gingen .
Geavanceerde supply chain attacks vervangen bijvoorbeeld hardware componenten. Ik herinner me een artikel van RSA over een aanval waarbij gedurende het transport tussen fabriek en vendor modules werden aangepast. Dit werd gedetecteerd doordat het apparaat een paar gram zwaarder was dan het origineel.
Chinees ?
Yank is zeker zo aannemelijk.
Absoluut, ik herinner me dat ik gelezen heb dat bestelde routers altijd een tripje maakten langs de NSA voordat ze naar de besteller gingen .
Dat heb ik ook gelezen, maar de genoemde modellen routers met trojaned IOS gaan in (relatief) enorme volumes . En heel eerst naar resellers, zonder dat er nog een eindklant voor is. (lopende voorraad).
Kortom - in de supply chain weet je nog niet welke je moet aanpassen die op de interessante plek terecht gaat komen.
Het volume van de high-end routers is veel kleiner, is de kans groot dat de klant-relatie direct met cisco is (grote klant, dure router) en dat de bestelde router dus verstuurd wordt aan de eindklant en niet aan een reseller. Voor sommige modellen kun je garanderen dat het service provider core of service provider edge routers gaan worden.
In die situatie verwacht ik eerder een modificatie in de supply chain (trojaned bootrom, microcode e.d. ) dan voor de beschreven aanval op deze modellen routers.
De landen waar het is aangetroffen maken yanks meer plausibel - als het chinezen waren, verwacht je de trojan ook/vooral in de VS .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
