Abo
  • Services:
Anzeige
Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

SYNfulknock: Weltweit Angriffe auf Cisco-Router entdeckt

Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

Router von Cisco sind weltweit von Hackern mit einer spezialisierten Firmware angegriffen worden. Fireeye vermutet hinter den Angriffen staatliche Akteure wie Geheimdienste, nennt aber keine Namen.

Anzeige

Im Rahmen einer weltweiten, seit einem Jahr andauernden Kampagne sollen zahlreiche Router von Cisco angegriffen und manipuliert worden sein. Dabei wurde unter anderem gefälschte ROM-Monitor-Firmware auf die Geräte aufgespielt, um weitere Angriffe zu ermöglichen. Infektionen wurden in einer ersten Untersuchung in der Ukraine, den Philippinen, Mexiko und Indien gefunden. Die Untersuchungen gehen auf das US-Sicherheitsunternehmen Fireeye zurück, das derzeit selbst wegen Sicherheitslücken in seinen Produkten in der Kritik steht. Mittlerweile wurden noch weitere Infektionen entdeckt.

Bei dem Angriff stünden Router von Cisco im Visier, die Netze zum Beispiel von Firmen oder Behörden mit dem Internet verbänden, sagte Fireeye-Chef David DeWalt der Nachrichtenagentur dpa. So könnten auch Daten in Umgehung einer Firewall abgegriffen werden. "Wir haben so etwas noch nie gesehen." Die Dimension der Arbeit, die dafür nötig sei, weise auf staatliche Akteure wie Geheimdienste hin. DeWalt machte jedoch keine Angaben dazu, welche Länder dafür infrage kommen.

Keine Schwachstellen, sondern manipulierte Firmware

Die Angreifer nutzten nach Angaben von Fireeye und Cisco keine Schwachstellen in den Routern selbst, sondern verwendeten Standard-Zugangsdaten, die von den jeweiligen Betreibern nicht geändert worden waren. In einigen Fällen sollen die Angreifer Zugangsdaten anderweitig ermittelt haben - dazu machten Cisco und Fireeye keine detaillierten Angaben.

Nachdem die Angreifer sich Zugriff auf die Geräte verschafft hatten, spielten sie die Malware auf die Geräte auf. Dazu manipulierten sie die ROM-Monitor-Firmware (Cisco IOS ROMMON), die für den Start der Geräte zuständig ist und grundlegende Änderungen der Einstellungen ermöglicht.

Über die manipulierte Firmware können Angreifer weitere Angriffsmodule laden und über ein Backdoor-Passwort in die Geräte eindringen. Die Schadsoftware bleibt auch nach einem Neustart des Rooters aktiv, vom Angreifer über die Firmware geladene Module müssten dann jedoch neu gestartet werden.

Malware überschreibt legitime Funktionen der Firmware

Die Malware verändert die Attribute des Translation-Lookaside-Buffers (TLB) von "Read Only" zu "Read/Write". Die Forscher vermuten, dass dies für die korrekte Ausführung von Modulen, die von der Malware nachgeladen werden, erforderlich sei. Um die Größe des IOS-Images nicht zu verändern, überschreiben die Angreifer Funktionen der Firmware zudem mit eigenem Code. Dabei achten sie den Angaben von Fireeye zufolge darauf, keine vom Router tatsächlich genutzten Funktionen stillzulegen. Dies spricht für eine sehr ressourcenstarke Kampagne, die ihre Angriffe jeweils individuell anpasst.

Mit der Malware manipulierte Geräte weisen einen nichtstandardisierten TCP-Handshake auf. Diesen Handshake nutzte das ZMAP-Projekt um weltweit nach infizierten Geräten zu suchen. Sie fanden in mehreren Scans 79 infizierte Geräte, hauptsächlich aus Asien und Afrika. Auch 25 Geräte aus den USA waren betroffen - alle im Netz eines einzigen ISP.

Betroffene Cisco-Geräte sind die Router mit den Bezeichnungen 1841, 2811 und 3825. Aufgrund von Ähnlichkeiten in der Firmware der Geräte könnten aber auch noch weitere Modelle betroffen sein, so Fireeye. Alle in der ursprünglichen Untersuchung ermittelten Kunden wurden nach Angaben von Cisco vorab informiert.


eye home zur Startseite
root666 17. Sep 2015

Ja das erinnert mich an einen Fall wo ein Router getauscht werden sollte und unser...

User_x 16. Sep 2015

Und das Blog gelesen ;-)



Anzeige

Stellenmarkt
  1. Neoperl GmbH, Müllheim
  2. T-Systems International GmbH, Berlin
  3. T-Systems International GmbH, Frankfurt am Main, Bonn, Leinfelden-Echterdingen, München
  4. T-Systems International GmbH, Darmstadt


Anzeige
Hardware-Angebote
  1. ab 219,90€
  2. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Ransomware

    Trojaner Fantom gaukelt kritisches Windows-Update vor

  2. Megaupload

    Gericht verhandelt über Dotcoms Auslieferung an die USA

  3. Observatory

    Mozilla bietet Sicherheitscheck für Websites

  4. Teilzeitarbeit

    Amazon probiert 30-Stunden-Woche aus

  5. Archos

    Neues Smartphone mit Fingerabdrucksensor für 150 Euro

  6. Sicherheit

    Operas Server wurden angegriffen

  7. Maru

    Quellcode von Desktop-Android als Open Source verfügbar

  8. Linux

    Kernel-Sicherheitsinitiative wächst "langsam aber stetig"

  9. VR-Handschuh

    Dexta Robotics' Exoskelett für Motion Capturing

  10. Dragonfly 44

    Eine Galaxie fast ganz aus dunkler Materie



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xfel: Riesenkamera nimmt Filme von Atomen auf
Xfel
Riesenkamera nimmt Filme von Atomen auf
  1. US Air Force Modifikation der Ionosphäre soll Funk verbessern
  2. Teilchenbeschleuniger Mögliches neues Boson weist auf fünfte Fundamentalkraft hin
  3. Materialforschung Glas wechselt zwischen durchsichtig und schwarz

Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

  1. Re: IMHO: FTTH ist auch ziemlicher overkill

    RipClaw | 20:32

  2. Re: Die werden ihn wohl ausliefern

    Friedrich.Thal | 20:30

  3. Re: Ist doch billiger

    plutoniumsulfat | 20:29

  4. Zu wenig Antennen? Seit froh. Lieber bei MS...

    Dextr1n | 20:20

  5. Re: 30 Stunden auf Abruf ?!?

    DrWatson | 20:17


  1. 13:49

  2. 12:46

  3. 11:34

  4. 15:59

  5. 15:18

  6. 13:51

  7. 12:59

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel