Abo
  • Services:
Anzeige
Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

SYNfulknock: Weltweit Angriffe auf Cisco-Router entdeckt

Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

Router von Cisco sind weltweit von Hackern mit einer spezialisierten Firmware angegriffen worden. Fireeye vermutet hinter den Angriffen staatliche Akteure wie Geheimdienste, nennt aber keine Namen.

Anzeige

Im Rahmen einer weltweiten, seit einem Jahr andauernden Kampagne sollen zahlreiche Router von Cisco angegriffen und manipuliert worden sein. Dabei wurde unter anderem gefälschte ROM-Monitor-Firmware auf die Geräte aufgespielt, um weitere Angriffe zu ermöglichen. Infektionen wurden in einer ersten Untersuchung in der Ukraine, den Philippinen, Mexiko und Indien gefunden. Die Untersuchungen gehen auf das US-Sicherheitsunternehmen Fireeye zurück, das derzeit selbst wegen Sicherheitslücken in seinen Produkten in der Kritik steht. Mittlerweile wurden noch weitere Infektionen entdeckt.

Bei dem Angriff stünden Router von Cisco im Visier, die Netze zum Beispiel von Firmen oder Behörden mit dem Internet verbänden, sagte Fireeye-Chef David DeWalt der Nachrichtenagentur dpa. So könnten auch Daten in Umgehung einer Firewall abgegriffen werden. "Wir haben so etwas noch nie gesehen." Die Dimension der Arbeit, die dafür nötig sei, weise auf staatliche Akteure wie Geheimdienste hin. DeWalt machte jedoch keine Angaben dazu, welche Länder dafür infrage kommen.

Keine Schwachstellen, sondern manipulierte Firmware

Die Angreifer nutzten nach Angaben von Fireeye und Cisco keine Schwachstellen in den Routern selbst, sondern verwendeten Standard-Zugangsdaten, die von den jeweiligen Betreibern nicht geändert worden waren. In einigen Fällen sollen die Angreifer Zugangsdaten anderweitig ermittelt haben - dazu machten Cisco und Fireeye keine detaillierten Angaben.

Nachdem die Angreifer sich Zugriff auf die Geräte verschafft hatten, spielten sie die Malware auf die Geräte auf. Dazu manipulierten sie die ROM-Monitor-Firmware (Cisco IOS ROMMON), die für den Start der Geräte zuständig ist und grundlegende Änderungen der Einstellungen ermöglicht.

Über die manipulierte Firmware können Angreifer weitere Angriffsmodule laden und über ein Backdoor-Passwort in die Geräte eindringen. Die Schadsoftware bleibt auch nach einem Neustart des Rooters aktiv, vom Angreifer über die Firmware geladene Module müssten dann jedoch neu gestartet werden.

Malware überschreibt legitime Funktionen der Firmware

Die Malware verändert die Attribute des Translation-Lookaside-Buffers (TLB) von "Read Only" zu "Read/Write". Die Forscher vermuten, dass dies für die korrekte Ausführung von Modulen, die von der Malware nachgeladen werden, erforderlich sei. Um die Größe des IOS-Images nicht zu verändern, überschreiben die Angreifer Funktionen der Firmware zudem mit eigenem Code. Dabei achten sie den Angaben von Fireeye zufolge darauf, keine vom Router tatsächlich genutzten Funktionen stillzulegen. Dies spricht für eine sehr ressourcenstarke Kampagne, die ihre Angriffe jeweils individuell anpasst.

Mit der Malware manipulierte Geräte weisen einen nichtstandardisierten TCP-Handshake auf. Diesen Handshake nutzte das ZMAP-Projekt um weltweit nach infizierten Geräten zu suchen. Sie fanden in mehreren Scans 79 infizierte Geräte, hauptsächlich aus Asien und Afrika. Auch 25 Geräte aus den USA waren betroffen - alle im Netz eines einzigen ISP.

Betroffene Cisco-Geräte sind die Router mit den Bezeichnungen 1841, 2811 und 3825. Aufgrund von Ähnlichkeiten in der Firmware der Geräte könnten aber auch noch weitere Modelle betroffen sein, so Fireeye. Alle in der ursprünglichen Untersuchung ermittelten Kunden wurden nach Angaben von Cisco vorab informiert.


eye home zur Startseite
root666 17. Sep 2015

Ja das erinnert mich an einen Fall wo ein Router getauscht werden sollte und unser...

User_x 16. Sep 2015

Und das Blog gelesen ;-)



Anzeige

Stellenmarkt
  1. K+S Aktiengesellschaft, Kassel
  2. Mediaform Unternehmensgruppe über ACADEMIC WORK, Hamburg, Reinbek
  3. operational services GmbH & Co. KG, Wolfsburg, Braunschweig
  4. über JobLeads GmbH, Frankfurt am Main


Anzeige
Top-Angebote
  1. (u. a. John Wick, Bastille Day, Sicario, Leon der Profi)
  2. 556,03€
  3. (u. a. Technikprodukte & Gadgets von Start-ups reduziert, Sport & Outdoor-Produkte günstiger)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Wissens-Guide und Kaufberatung für Cloud-Sicherheit


  1. Datenschutzverordnung im Bundestag

    "Für uns ist jeden Tag der Tag der inneren Sicherheit"

  2. Aspire-Serie

    Acer stellt Notebooks für jeden Geldbeutel vor

  3. Acer Predator Triton 700

    Das Fenster oberhalb der Tastatur ist ein Clickpad

  4. Kollaborationsserver

    Owncloud 10 verbessert Gruppen- und Gästenutzung

  5. Panoramafreiheit

    Aidas Kussmund darf im Internet veröffentlicht werden

  6. id Software

    Nächste id Tech setzt massiv auf FP16-Berechnungen

  7. Broadcom-Sicherheitslücken

    Samsung schützt Nutzer nicht vor WLAN-Angriffen

  8. Star Citizen

    Transparenz im All

  9. Hikey 960

    Huawei bringt Entwicklerboard mit Mate-9-Chip

  10. Samsung

    Chip-Sparte bringt Gewinnanstieg



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Siege M04 im Test: Creatives erste Sound-Blaster-Maus überzeugt
Siege M04 im Test
Creatives erste Sound-Blaster-Maus überzeugt

In eigener Sache: Die Quanten kommen!
In eigener Sache
Die Quanten kommen!
  1. In eigener Sache Golem.de führt kostenpflichtige Links ein
  2. In eigener Sache Golem.de sucht Marketing Manager (w/m)
  3. In eigener Sache Golem.de geht auf Jobmessen

Akkutechnik: Was, wenn nicht Lithium?
Akkutechnik
Was, wenn nicht Lithium?
  1. Geländekauf in Nevada Google wird Nachbar von Teslas Gigafactory
  2. Lagerverkehr Amazon setzt auf Gabelstapler mit Brennstoffzellen
  3. Lithium-Akkus Durchbruch verzweifelt gesucht

  1. Re: Damit sind wir jetzt in einem Preisbereich...

    ArcherV | 20:52

  2. Re: was für ein AMD?

    rabatz | 20:52

  3. Re: !!! Nur 100 Km Reichweite? !!!

    bobb | 20:50

  4. Re: So mancher Bauer war da schon schlauer

    luzipha | 20:49

  5. Re: In 20 Jahren...

    matok | 20:44


  1. 20:24

  2. 18:00

  3. 18:00

  4. 17:42

  5. 17:23

  6. 16:33

  7. 16:05

  8. 15:45


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel