Abo
  • Services:
Anzeige
Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

SYNfulknock: Weltweit Angriffe auf Cisco-Router entdeckt

Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

Router von Cisco sind weltweit von Hackern mit einer spezialisierten Firmware angegriffen worden. Fireeye vermutet hinter den Angriffen staatliche Akteure wie Geheimdienste, nennt aber keine Namen.

Anzeige

Im Rahmen einer weltweiten, seit einem Jahr andauernden Kampagne sollen zahlreiche Router von Cisco angegriffen und manipuliert worden sein. Dabei wurde unter anderem gefälschte ROM-Monitor-Firmware auf die Geräte aufgespielt, um weitere Angriffe zu ermöglichen. Infektionen wurden in einer ersten Untersuchung in der Ukraine, den Philippinen, Mexiko und Indien gefunden. Die Untersuchungen gehen auf das US-Sicherheitsunternehmen Fireeye zurück, das derzeit selbst wegen Sicherheitslücken in seinen Produkten in der Kritik steht. Mittlerweile wurden noch weitere Infektionen entdeckt.

Bei dem Angriff stünden Router von Cisco im Visier, die Netze zum Beispiel von Firmen oder Behörden mit dem Internet verbänden, sagte Fireeye-Chef David DeWalt der Nachrichtenagentur dpa. So könnten auch Daten in Umgehung einer Firewall abgegriffen werden. "Wir haben so etwas noch nie gesehen." Die Dimension der Arbeit, die dafür nötig sei, weise auf staatliche Akteure wie Geheimdienste hin. DeWalt machte jedoch keine Angaben dazu, welche Länder dafür infrage kommen.

Keine Schwachstellen, sondern manipulierte Firmware

Die Angreifer nutzten nach Angaben von Fireeye und Cisco keine Schwachstellen in den Routern selbst, sondern verwendeten Standard-Zugangsdaten, die von den jeweiligen Betreibern nicht geändert worden waren. In einigen Fällen sollen die Angreifer Zugangsdaten anderweitig ermittelt haben - dazu machten Cisco und Fireeye keine detaillierten Angaben.

Nachdem die Angreifer sich Zugriff auf die Geräte verschafft hatten, spielten sie die Malware auf die Geräte auf. Dazu manipulierten sie die ROM-Monitor-Firmware (Cisco IOS ROMMON), die für den Start der Geräte zuständig ist und grundlegende Änderungen der Einstellungen ermöglicht.

Über die manipulierte Firmware können Angreifer weitere Angriffsmodule laden und über ein Backdoor-Passwort in die Geräte eindringen. Die Schadsoftware bleibt auch nach einem Neustart des Rooters aktiv, vom Angreifer über die Firmware geladene Module müssten dann jedoch neu gestartet werden.

Malware überschreibt legitime Funktionen der Firmware

Die Malware verändert die Attribute des Translation-Lookaside-Buffers (TLB) von "Read Only" zu "Read/Write". Die Forscher vermuten, dass dies für die korrekte Ausführung von Modulen, die von der Malware nachgeladen werden, erforderlich sei. Um die Größe des IOS-Images nicht zu verändern, überschreiben die Angreifer Funktionen der Firmware zudem mit eigenem Code. Dabei achten sie den Angaben von Fireeye zufolge darauf, keine vom Router tatsächlich genutzten Funktionen stillzulegen. Dies spricht für eine sehr ressourcenstarke Kampagne, die ihre Angriffe jeweils individuell anpasst.

Mit der Malware manipulierte Geräte weisen einen nichtstandardisierten TCP-Handshake auf. Diesen Handshake nutzte das ZMAP-Projekt um weltweit nach infizierten Geräten zu suchen. Sie fanden in mehreren Scans 79 infizierte Geräte, hauptsächlich aus Asien und Afrika. Auch 25 Geräte aus den USA waren betroffen - alle im Netz eines einzigen ISP.

Betroffene Cisco-Geräte sind die Router mit den Bezeichnungen 1841, 2811 und 3825. Aufgrund von Ähnlichkeiten in der Firmware der Geräte könnten aber auch noch weitere Modelle betroffen sein, so Fireeye. Alle in der ursprünglichen Untersuchung ermittelten Kunden wurden nach Angaben von Cisco vorab informiert.


eye home zur Startseite
root666 17. Sep 2015

Ja das erinnert mich an einen Fall wo ein Router getauscht werden sollte und unser...

User_x 16. Sep 2015

Und das Blog gelesen ;-)



Anzeige

Stellenmarkt
  1. Dataport, Altenholz bei Kiel
  2. Trivadis GmbH, Düsseldorf
  3. BOGE KOMPRESSOREN Otto Boge GmbH & Co. KG, Bielefeld
  4. S-KREDITPARTNER GMBH, Berlin


Anzeige
Top-Angebote
  1. 0,91€
  2. 94,90€ statt 109,90€
  3. 74,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von Freudenberg IT
  3. Mehr dazu im aktuellen Whitepaper von IBM


  1. Keysniffer

    Millionen kabellose Tastaturen senden Daten im Klartext

  2. Here WeGo

    Here Maps kommt mit neuem Namen und neuen Funktionen

  3. Mesuit

    Chinesischer Hersteller bietet Android-Hülle für iPhones an

  4. Pokémon Go

    Pikachu versus Bundeswehr

  5. Smartphones

    Erste Chips mit 10-nm-Technik sind bei den Herstellern

  6. Nintendo

    Wii U findet kaum noch Käufer

  7. BKA-Statistik

    Darknet und Dunkelfelder helfen Cyberkriminellen

  8. Ticwatch 2

    Android-Wear-kompatible Smartwatch in 10 Minuten finanziert

  9. Hardware und Software

    Facebook legt 360-Grad-Kamera offen

  10. Licht

    Osram verkauft sein LED-Geschäft nach China



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Elementary OS Loki im Test: Hübsch und einfach kann auch kompliziert sein
Elementary OS Loki im Test
Hübsch und einfach kann auch kompliziert sein
  1. Linux-Distribution Ubuntu diskutiert Ende der 32-Bit-Unterstützung
  2. Dells XPS 13 mit Ubuntu im Test Endlich ein Top-Notebook mit Linux!
  3. Aquaris M10 Ubuntu Edition im Test Ubuntu versaut noch jedes Tablet

Wolkenkratzer: Wer will schon 2.900 Stufen steigen?
Wolkenkratzer
Wer will schon 2.900 Stufen steigen?
  1. Hafen Die Schauerleute von heute sind riesig und automatisch
  2. Bahn Siemens verbessert Internet im Zug mit Funklochfenstern
  3. Fraunhofer-Institut Rekord mit Multi-Gigabit-Funk über 37 Kilometer

Festplatten mit Flash-Cache: Das Konzept der SSHD ist gescheitert
Festplatten mit Flash-Cache
Das Konzept der SSHD ist gescheitert
  1. Ironwolf, Skyhawk und Barracuda Drei neue 10-TByte-Modelle von Seagate
  2. 3PAR-Systeme HPE kündigt 7,68- und 15,36-TByte-SSDs an
  3. NVM Express und U.2 Supermicro gibt SATA- und SAS-SSDs bald auf

  1. Re: Jailbreak sinnvoll?

    picaschaf | 19:05

  2. Re: maximale USB-Kabel-Länge: 5m

    bccc1 | 19:04

  3. Re: Akkulaufzeit: Es gibt keine Macbook Air...

    SchmuseTigger | 19:01

  4. Re: Wenn schon dreist kopieren...

    SchmuseTigger | 19:00

  5. Re: HTTPS verspricht mehr als es bietet

    FreiGeistler | 18:53


  1. 19:16

  2. 17:37

  3. 16:32

  4. 16:13

  5. 15:54

  6. 15:31

  7. 15:14

  8. 14:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel