image

Cisco onthult eerdere malware-aanvallen op routers

zaterdag 10 oktober 2015, 07:02 door Redactie, 5 reacties

Recentelijk werd bekend dat routers van netwerkgigant Cisco het doelwit van malware waren geworden, maar in het verleden hebben er meer van dit soort incidenten plaatsgevonden. In totaal gaat het om zes malware-aanvallen die de afgelopen vier jaar werden ontdekt en onderzocht, zo laat Cisco zelf weten.

Het meest recente incident betreft de SYNful Knock-malware, waarbij aanvallers een aangepast besturingssysteem op routers installeren. Via de malware blijven de aanvallers toegang tot het bedrijfsnetwerk houden, ook al wordt de router gereset. Om het malafide besturingssysteem te installeren maken de aanvallers gebruik van fysieke toegang of gestolen inloggegevens.

De eerste twee incidenten waarbij malware werd ingezet dateren van 2011 en 2012. Het ging hier waarschijnlijk om speciaal gemaakte malware gericht tegen een bepaald doelwit. Ook in dit geval werd het besturingssysteem van de routers aangepast, met als doel het verzwakken van de encryptie. Het verkeer leek daardoor nog steeds versleuteld, maar de aanvallers konden het verkeer vervolgens met minder moeite ontsleutelen.

IPv4-pakketten

Twee andere incidenten werden in 2013 geïdentificeerd. Wederom wist de aanvaller met gestolen inloggegevens van de beheerder toegang tot de router te krijgen en werd er code toegevoegd. Deze code zorgde ervoor dat bepaalde IPv4-pakketten naar de aanvaller werden doorgestuurd. Daarnaast kon de aanvaller via de extra code een IPv4-adres bereiken dat normaal niet toegankelijk vanaf het internet was.

Eind 2014 werd het vijfde incident opgemerkt. Wederom begon de aanval met gestolen inloggegevens. In vergelijking met voorgaande exemplaren gebruikten de aanvallers dit keer geavanceerdere malware die in staat was om een herstart van de router te overleven. Deze malware had ook als doel om bepaalde pakketten te onderscheppen en de aanvaller toegang vanaf het publieke internet te bieden.

Cisco stelt dat het sinds de ontdekking van de eerste malware verschillende maatregelen heeft genomen om de apparatuur beter te beschermen. De aanvallen blijven zich echter ontwikkelen. Daarom stelt de netwerkgigant dat het op de middellangetermijn detectie en herstelmogelijkheden aan de apparatuur gaat toevoegen.

Reacties (5)
10-10-2015, 19:52 door Anoniem
Als ze al eens beginnen de bootloader in een ROM te branden, net als de initiële firmware. Dan een check of er in het eeprom een geldige firmware aanwezig is (wellicht door deze te signen), zo niet: firmware uit ROM laden. Tenslotte een hardcoded routine waarme je het eeprom kan wissen. Dan is een besmetting tenminste nog terug te draaien. Altijd beter dan apparatuur weg te moeten gooien.
10-10-2015, 22:24 door Anoniem
Brrrrrr, nu maar hopen dat de malware de komende 10 minuten geen routertjes platlegt.
Knokende knotsknieen nog aan toe, dat moeten we niet hebben!
Zou moderatie nog voldoende overeind zitten?
Das toch geen werken zo!
:-)
11-10-2015, 10:26 door karma4
Door Anoniem: Als ze al eens beginnen de bootloader in een ROM te branden,
Dat was ooit eens zo. Het moest sneller beter onderhoudsadvies (lees van afstpand te manipuleren....). Ja niet met de bedoeling door anderen dat dachten ze later pas over na. Terug naar wat ooit was zal niet zo maar gebeuren.
11-10-2015, 10:56 door Anoniem
Ik vind die attacks via inloggen eigenlijk niet zo interessant. Geen enkele verstandige beheerder laat het toe dat er
van buitenaf ingelogd wordt op een router.

Het wordt pas interessant als er attacks gevonden worden die via normaal netwerkverkeer plaatsvinden en/of niet kunnen
worden geblokkeerd met access lists.
11-10-2015, 21:32 door Anoniem
Door Anoniem: Ik vind die attacks via inloggen eigenlijk niet zo interessant. Geen enkele verstandige beheerder laat het toe dat er
van buitenaf ingelogd wordt op een router.

Het wordt pas interessant als er attacks gevonden worden die via normaal netwerkverkeer plaatsvinden en/of niet kunnen
worden geblokkeerd met access lists.

Nadat de backdoor versie geinstalleerd was, waren deze attacks dat .
M.i. zijn deze attacks wel degelijk bijzonder interessant , en bijzonder lastig om te bouwen. Dat er initieel management toegang nodig is, is wat m.i. niet zo interessant is. Dat vergt alleen een gewone hack op een gewoon bedrijfsnetwerk , of op systeem van iemand uit een team van netwerkbeheerders . Degene die in staat is (IOS)router trojans te bouwen moet absoluut in staat geacht worden om ook in te breken op een regulier bedrijfs netwerk.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.