image

Spionageaanval via gehackte MikroTik-routers ontdekt

vrijdag 9 maart 2018, 18:13 door Redactie, 11 reacties
Laatst bijgewerkt: 09-03-2018, 19:11

Anti-virusbedrijf Kaspersky Lab heeft een spionageaanval via gehackte MikroTik-routers ontdekt die vooral in Afrika en het Midden-Oosten slachtoffers heeft gemaakt. Volgens de virusbestrijder gaat het om een aanval die qua complexiteit vergelijkbaar is met twee eerder ontdekte spionageaanvallen die bekendstaan als Regin en Sauron.

Slingshot, zoals de groep achter de aanval wordt genoemd, maakt gebruik van gecompromitteerde MikroTik-routers om slachtoffers te infecteren. MikroTik biedt klanten een programma genaamd WinBox om routers te beheren. Dit programma, dat op de router staat, downloadt een aantal dll-bestanden van het bestandssysteem van de router en laadt ze direct in het geheugen van de computer.

Om beheerders van MikroTik-routers te infecteren hebben de aanvallers een kwaadaardige versie van het dll-bestand genaamd ipv4.dll op de gecompromitteerde routers geplaatst. Na te zijn toegevoegd wordt dit dll-bestand door WinBox gedownload en uitgevoerd. Volgens de onderzoekers is dit dll-bestand een Trojan-downloader die aanvullende malware op het systeem installeert. Hoe de aanvallers het voor elkaar hebben gekregen om de MikroTik-routers te hacken en van het malafide dll-bestand te voorzien is onbekend.

Wat de onderzoekers wel weten is dat het dll-bestand verschillende modules downloadt, waaronder een kernel-module en een user-mode-module. Deze modules zijn ontwikkeld om gegevens te verzamelen en te stelen en het systeem gecompromitteerd te houden. Om code in kernel-mode te kunnen draaien laadt Slingshot gesigneerde kwetsbare drivers. Via de kwetsbaarheden in deze drivers voert de malware zijn eigen code uit. Doordat de code met kernel-rechten wordt uitgevoerd heeft die volledige controle over het systeem en kan zich onder andere voor anti-virussoftware verbergen.

Cyberspionage

Het doel van Slingshot is cyberspionage. Uit het onderzoek blijkt dat de malware screenshots, keyboarddata, netwerkgegevens, wachtwoorden, usb-verbindingen, desktopactiviteit, de inhoud van het clipboard en andere gegevens verzamelt en naar de aanvallers terugstuurt. Opmerkelijk aan de malware is dat die de software voor het defragmenteren van de harde schijf uitschakelt. Slingshot maakt gebruik van een eigen versleuteld bestandssysteem dat zich in een ongebruikt deel van de harde schijf kan bevinden. Bij het defragmenteren van de harde schijf kan data naar dit deel worden geschreven, wat het virtuele bestandssysteem kan beschadigen.

Volgens Kaspersky Lab is Slingshot al sinds 2012 actief en nog steeds operationeel. Het anti-virusbedrijf heeft zo'n 100 slachtoffers waargenomen in Kenia, Yemen, Afghanistan, Libië, Congo, Jordanië, Turkije, Irak, Soedan, Somalië en Tanzania. De meeste slachtoffers zijn individuen in plaats van organisaties, maar ook verschillende overheidsorganisaties en -instellingen zijn door de malware getroffen. In Kenia en Yemen werden de meeste slachtoffers waargenomen. MikroTik heeft in een reactie aan Kaspersky Lab laten weten dat de laatste versie van WinBox het bestand ipv4.dll niet meer op de computer downloadt, waarmee deze aanvalsvector is gesloten. In dit rapport (pdf) geeft Kaspersky Lab informatie en hashes van bestanden en domeinen waar de malware gebruik van maakt.

Image

Reacties (11)
09-03-2018, 21:57 door Anoniem
Belangrijk is de vraag of vóór de aankomst van de MicroTik routers bij de klant deze apparaten al niet zijn voorzien van de gecompromitteerde software. Een truc die een aantal jaren terug ook door Snowden werd onthuld, kompleet met foto's.

Het lijkt mij daarom wijs om voor alle zekerheid de hele keten van productie, verzending en aankomst van de MicroTik routers na te trekken.
10-03-2018, 03:00 door Anoniem
Dus zolang je gewoon ssh of de web-gui gebruike voor beheer had je van de DLLs geen last. Ik had liever meer onderzoek gezien hoe men uberhaupt toegang tot de router wist te krijgen want dat is veel ernstiger.
10-03-2018, 15:33 door Anoniem
Door Anoniem: Belangrijk is de vraag of vóór de aankomst van de MicroTik routers bij de klant deze apparaten al niet zijn voorzien van de gecompromitteerde software. Een truc die een aantal jaren terug ook door Snowden werd onthuld, kompleet met foto's.

Het lijkt mij daarom wijs om voor alle zekerheid de hele keten van productie, verzending en aankomst van de MicroTik routers na te trekken.

De keten productie - Somalië/Afghanistan e.a. zal nogal een hoop schakels bevatten.
Microtik zijn nogal low-end routers, en er is vzviw geen optie/noodzaak om ze direct bij de fabrikant te bestellen - of anders gezegd, bij productie is de eindbestemming van zo'n router m.i. niet bekend.
Het zou zeker kunnen dat de trojan onderweg in de router gezet wordt, maar het na trekken lijkt me gezien de betrokken landen lastig . Otoh, een remote exploit waarmee de trojan geplaatst wordt is natuurlijk ook aannemelijk.

Ik het het vooroordeel (? op ervaring bebaseerde verwachting) dat het type beheerder dat een windows gui programma'tje wil hebben om z'n router te beheren zelden iemand is die beheer/configuratie dan wel goed doet - en dat laat de mogelijkheid van remote exploit ruim open.
10-03-2018, 17:14 door Anoniem
Als je het pdf document leest van Kaspersky dan blijken het allemaal oude firmware releases te zijn. Wellicht verstandig om bij te blijven met de firmware updates. https://mikrotik.com/download/changelogs/

Volgens Mikrotik is de lek zoals beschreven door Kaspersky verholpen vanaf release 6.38.5 (2017-Mar-09 11:32)
Met de omschrijving; !) www - fixed http server vulnerability;
10-03-2018, 17:33 door Anoniem
In het midden van ons continent hangt ook nog heel wat mikrotik op Technische Universiteiten en o.a. als onderdeel van open stads-wifi bij voorbeeld. In Zachodniopomorskie Polska bij voorbeeld.

"CrooksI In Action" basis Frankfurt en Boekarest is er al tegen in de weer geweest door het ontwikkelen van exploitcode: https://forum.mikrotik.com/viewtopic.php?t=119255[/ur;] Mikrotik hangt ook veel in Moskou, vandaar!Leuke jongens die CIA, met zulke vriendjes heb je als bevolking geen vijanden meer nodig. Jodocus Oyevaer
10-03-2018, 17:45 door Anoniem
Door Anoniem:
Microtik zijn nogal low-end routers,

Ik het het vooroordeel (? op ervaring bebaseerde verwachting) dat het type beheerder dat een windows gui programma'tje wil hebben om z'n router te beheren zelden iemand is die beheer/configuratie dan wel goed doet - en dat laat de mogelijkheid van remote exploit ruim open.

Wat weet je er eigenlijk van? Je kunt de naam van de fabrikant niet schrijven, je kent het productgamma niet, en het
windows gui programma'je heb je denkelijk nooit gezien.
Kom nu eens met info die wel ergens op gebaseerd is...
11-03-2018, 00:25 door Anoniem
Door Anoniem:
Door Anoniem:
Microtik zijn nogal low-end routers,

Ik het het vooroordeel (? op ervaring bebaseerde verwachting) dat het type beheerder dat een windows gui programma'tje wil hebben om z'n router te beheren zelden iemand is die beheer/configuratie dan wel goed doet - en dat laat de mogelijkheid van remote exploit ruim open.

Wat weet je er eigenlijk van? Je kunt de naam van de fabrikant niet schrijven, je kent het productgamma niet, en het
windows gui programma'je heb je denkelijk nooit gezien.
Kom nu eens met info die wel ergens op gebaseerd is...

Goh, heb ik op de tenen van een MicroTik (tjeez , wat een argument, hoofdletter gemist halverwege de naam) fanboy gestaan ?

Microtik maakt voornamelijk low-end devices , voor de soho/MKB markt. Ja, een 3K device met 8x10G ports is ook nogal low-end. De rest van portfolio zijn kleinere modellen.
Dat wil niet automatisch zeggen dat de devices van matige kwaliteit zijn, maar wel dat in dit segment gewoon van de plank van de winkelier/distributeur verkocht wordt . Microtik heeft geen of vrijwel geen zicht op waar of bij wie het apparaat uiteindelijk komt te staan - en dat betekent dat direct in of vlak bij de productieketen infecteren geen optie is om de infectie (alleen) bij een bepaalde klant terecht te laten komen.

Een high-end router zit in de prijsklasse van een aantal tonnen (en een hoop 40 of 100G poorten) en in dat verkooptraject heeft de fabrikant veel directer zicht op / contact met de klant , en zijn er dus meer plekken in de keten waarop een op één klant gerichte modificatie uitgevoerd kan worden.

Maar goed - dat is precies wat ik al schreef, maar wat je misschien niet duidelijk was.

Voor wat betreft de gui, 10+ jaar rondlopen in netwerkland laat de correlatie "beheerder wil/moet een gui gebruiken" en "beheerder snapt vrij weinig van een router" duidelijk zien - en al helemaal in combinatie met het Soho/MKB marksegment.
In die situatie is een security breach lang niet altijd te wijten aan een echte bug in de software van het device.

(in een voldoende groot netwerk en met SDN ambities wil je inderdaad automatiseren en daar zal een deel van het beheer inderdaad makkelijk gaan via een [web]gui .)
11-03-2018, 11:32 door Anoniem
Ja ok je bevestigt helemaal wat ik al dacht: je bralt maar wat.
Als iemand een opmerking maakt gewoon even je definities zo instellen dat je toch gelijk krijgt.... haha.

Bij MikroTik (ben je misschien dyslectisch?) zijn er 3 configuratie interfaces voor de beheerder:
- commandline (console/ssh/telnet)
- web (http/https)
- winbox.exe (de gui)

Daarnaast is er nog een API voor centraal beheer en monitoring maar dat laten we er maar even buiten, dit is
wat winbox ook gebruikt tenslotte.

Deze 3 bieden exact dezelfde interface. het is dus niet zoals bij bepaalde andere merken die jij kennelijk kent
dat er een commandline interface is waarmee alles kan en daarnaast een of andere pruts gui waar je alleen wat
standaard wizards kunt aanklikken die een configje voor je bakken en waar je dan niks meer aan kunt aanpassen.
Met de gui kun je gewoon alles wat met de commandline ook kan.

Het is dus niet een kwestie van "gui moeten gebruiken". Om de gui te gebruiken moet je er precies zoveel vanaf
weten als voor de commandline, alleen hoef je niet de hele tijd commands te tikken maar kun je ze gewoon in de
gui kiezen en hoef je niet de hele tijd lijstjes op te vragen van wat er al geconfigureerd is maar staat dit gewoon
op je scherm. En in de gui gaan bepaalde dingen zoals re-orderen van een access list veel gemakkelijker omdat
je nou eenmaal gemakkelijker een regeltje kunt slepen dan dat je in de commandline gaat opgeven welk regelnummer
je wilt verplaatsen naar welk nieuw nummer.

Heel handig en heeft niks te maken met "beheerder snapt weinig van een router". Want je moet het nog steeds snappen!
Dat dit bij andere merken wel het geval is en dat je dat blind projecteert op deze routers dat geeft alleen maar aan
dat je met oogkleppen op zit (zeker als je er nog op doorgaat nadat je er op gewezen bent).

Wat ook heel prettig is dat is dat je gewoon levenslang software updates kunt downloaden zonder geouwehoer,
dus de beheerder die dat wat kan schelen kan altijd updaten zonder te moeten soebatten bij de fabrikant.
Wel zo veilig. Maar jij hebt liever een fabrikant die de klanten kan uitpersen, dat is ook prima hoor.
11-03-2018, 11:38 door Anoniem
Beste,

En omdat MikroTik geen 100Gbit model heeft is het meteen maar bagger?
Ik meen te herinneren dat andere vendoren ook kleine units hebben die prima tot 10.000+ users worden ingezet, net zo professioneel als dat MikroTik is.
Bij de vele datacenters waar we komen in NL / Amsterdam en omstreken wordt heel veel vervangen door o.a. MikroTik tegenwoordig.
Betreft deze security issue, als je de firmware niet bijhoudt en zaken niet adequaat logt/naleest dan is geen enkele router safe, ook de ‘grote jongens’ niet..

Goed weekend!
11-03-2018, 13:53 door Anoniem
Door Anoniem: Beste,

En omdat MikroTik geen 100Gbit model heeft is het meteen maar bagger?
Ik meen te herinneren dat andere vendoren ook kleine units hebben die prima tot 10.000+ users worden ingezet, net zo professioneel als dat MikroTik is.
Bij de vele datacenters waar we komen in NL / Amsterdam en omstreken wordt heel veel vervangen door o.a. MikroTik tegenwoordig.
Betreft deze security issue, als je de firmware niet bijhoudt en zaken niet adequaat logt/naleest dan is geen enkele router safe, ook de ‘grote jongens’ niet..

Goed weekend!

Menig duur merk, waarvan ik hier de namen niet noem, wordt vervangen door een Mikrotik omdat een Mikrotik net zo goed en wellicht zelfs beter presteert. Ook deze dure merken hebben te maken met security incidenten. Het blijft wel een feit dat je bij al deze merken verstand van zaken moet hebben en dat dit helemaal niets te maken heeft met een gui die wel of niet gebruikt kan worden. Met of zonder gui maar zonder verstand van zaken ga je onherroepelijk NAT.
12-03-2018, 07:22 door Anoniem
Zucht, de ego's zijn weer aan het moddergooien en het werkelijk onderwerp is in geen velden of wegen meer te "zien"

Tijd voor een "handshake"
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.