Abo
  • IT-Karriere:

SYNfulknock: Weltweit Angriffe auf Cisco-Router entdeckt

Router von Cisco sind weltweit von Hackern mit einer spezialisierten Firmware angegriffen worden. Fireeye vermutet hinter den Angriffen staatliche Akteure wie Geheimdienste, nennt aber keine Namen.

Artikel veröffentlicht am , /dpa
Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

Im Rahmen einer weltweiten, seit einem Jahr andauernden Kampagne sollen zahlreiche Router von Cisco angegriffen und manipuliert worden sein. Dabei wurde unter anderem gefälschte ROM-Monitor-Firmware auf die Geräte aufgespielt, um weitere Angriffe zu ermöglichen. Infektionen wurden in einer ersten Untersuchung in der Ukraine, den Philippinen, Mexiko und Indien gefunden. Die Untersuchungen gehen auf das US-Sicherheitsunternehmen Fireeye zurück, das derzeit selbst wegen Sicherheitslücken in seinen Produkten in der Kritik steht. Mittlerweile wurden noch weitere Infektionen entdeckt.

Stellenmarkt
  1. MEPA- Pauli und Menden GmbH, Bonn
  2. Automotive Safety Technologies GmbH, Gaimersheim

Bei dem Angriff stünden Router von Cisco im Visier, die Netze zum Beispiel von Firmen oder Behörden mit dem Internet verbänden, sagte Fireeye-Chef David DeWalt der Nachrichtenagentur dpa. So könnten auch Daten in Umgehung einer Firewall abgegriffen werden. "Wir haben so etwas noch nie gesehen." Die Dimension der Arbeit, die dafür nötig sei, weise auf staatliche Akteure wie Geheimdienste hin. DeWalt machte jedoch keine Angaben dazu, welche Länder dafür infrage kommen.

Keine Schwachstellen, sondern manipulierte Firmware

Die Angreifer nutzten nach Angaben von Fireeye und Cisco keine Schwachstellen in den Routern selbst, sondern verwendeten Standard-Zugangsdaten, die von den jeweiligen Betreibern nicht geändert worden waren. In einigen Fällen sollen die Angreifer Zugangsdaten anderweitig ermittelt haben - dazu machten Cisco und Fireeye keine detaillierten Angaben.

Nachdem die Angreifer sich Zugriff auf die Geräte verschafft hatten, spielten sie die Malware auf die Geräte auf. Dazu manipulierten sie die ROM-Monitor-Firmware (Cisco IOS ROMMON), die für den Start der Geräte zuständig ist und grundlegende Änderungen der Einstellungen ermöglicht.

Über die manipulierte Firmware können Angreifer weitere Angriffsmodule laden und über ein Backdoor-Passwort in die Geräte eindringen. Die Schadsoftware bleibt auch nach einem Neustart des Rooters aktiv, vom Angreifer über die Firmware geladene Module müssten dann jedoch neu gestartet werden.

Malware überschreibt legitime Funktionen der Firmware

Die Malware verändert die Attribute des Translation-Lookaside-Buffers (TLB) von "Read Only" zu "Read/Write". Die Forscher vermuten, dass dies für die korrekte Ausführung von Modulen, die von der Malware nachgeladen werden, erforderlich sei. Um die Größe des IOS-Images nicht zu verändern, überschreiben die Angreifer Funktionen der Firmware zudem mit eigenem Code. Dabei achten sie den Angaben von Fireeye zufolge darauf, keine vom Router tatsächlich genutzten Funktionen stillzulegen. Dies spricht für eine sehr ressourcenstarke Kampagne, die ihre Angriffe jeweils individuell anpasst.

Mit der Malware manipulierte Geräte weisen einen nichtstandardisierten TCP-Handshake auf. Diesen Handshake nutzte das ZMAP-Projekt um weltweit nach infizierten Geräten zu suchen. Sie fanden in mehreren Scans 79 infizierte Geräte, hauptsächlich aus Asien und Afrika. Auch 25 Geräte aus den USA waren betroffen - alle im Netz eines einzigen ISP.

Betroffene Cisco-Geräte sind die Router mit den Bezeichnungen 1841, 2811 und 3825. Aufgrund von Ähnlichkeiten in der Firmware der Geräte könnten aber auch noch weitere Modelle betroffen sein, so Fireeye. Alle in der ursprünglichen Untersuchung ermittelten Kunden wurden nach Angaben von Cisco vorab informiert.



Anzeige
Spiele-Angebote
  1. (-63%) 16,99€
  2. 4,99€
  3. (-75%) 9,99€
  4. 0,49€

root666 17. Sep 2015

Ja das erinnert mich an einen Fall wo ein Router getauscht werden sollte und unser...

User_x 16. Sep 2015

Und das Blog gelesen ;-)


Folgen Sie uns
       


iPhone 11 Pro Max - Test

Das neue iPhone 11 Pro Max ist das erste iPhone mit einer Dreifachkamera. Dass sich diese lohnt, zeigt unser Test.

iPhone 11 Pro Max - Test Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Pixel 4 im Hands on: Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro
Pixel 4 im Hands on
Neue Pixel mit Dualkamera und Radar-Gesten ab 750 Euro

Nach zahlreichen Leaks hat Google das Pixel 4 und das Pixel 4 XL offiziell vorgestellt: Die Smartphones haben erstmals eine Dualkamera - ein Radar-Chip soll zudem die Bedienung verändern. Im Kurztest hinterlassen beide einen guten ersten Eindruck.
Ein Hands on von Tobias Költzsch

  1. Google Pixel 4 entsperrt auch bei geschlossenen Augen
  2. Live Captions Pixel 4 blendet auf dem Gerät erzeugte Untertitel ein
  3. Google Fotos Pixel 4 kommt ohne unbegrenzten unkomprimierten Fotospeicher

Mädchen und IT: Fehler im System
Mädchen und IT
Fehler im System

Bis zu einem gewissen Alter sind Jungen und Mädchen gleichermaßen an Technik interessiert. Wenn es dann aber um die Berufswahl geht, entscheiden sich immer noch viel mehr junge Männer als Frauen für die IT. Ein wichtiger Grund dafür ist in der Schule zu suchen.
Von Valerie Lux

  1. IT an Schulen Intelligenter Stift zeichnet Handschrift von Schülern auf
  2. 5G Milliardenlücke beim Digitalpakt Schule droht
  3. Medienkompetenz Was, Ihr Kind kann nicht programmieren?

    •  /