Abo
  • Services:
Anzeige
Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

SYNfulknock: Weltweit Angriffe auf Cisco-Router entdeckt

Hacker infizierten Cisco-Router mit Malware.
Hacker infizierten Cisco-Router mit Malware. (Bild: Fireeye)

Router von Cisco sind weltweit von Hackern mit einer spezialisierten Firmware angegriffen worden. Fireeye vermutet hinter den Angriffen staatliche Akteure wie Geheimdienste, nennt aber keine Namen.

Anzeige

Im Rahmen einer weltweiten, seit einem Jahr andauernden Kampagne sollen zahlreiche Router von Cisco angegriffen und manipuliert worden sein. Dabei wurde unter anderem gefälschte ROM-Monitor-Firmware auf die Geräte aufgespielt, um weitere Angriffe zu ermöglichen. Infektionen wurden in einer ersten Untersuchung in der Ukraine, den Philippinen, Mexiko und Indien gefunden. Die Untersuchungen gehen auf das US-Sicherheitsunternehmen Fireeye zurück, das derzeit selbst wegen Sicherheitslücken in seinen Produkten in der Kritik steht. Mittlerweile wurden noch weitere Infektionen entdeckt.

Bei dem Angriff stünden Router von Cisco im Visier, die Netze zum Beispiel von Firmen oder Behörden mit dem Internet verbänden, sagte Fireeye-Chef David DeWalt der Nachrichtenagentur dpa. So könnten auch Daten in Umgehung einer Firewall abgegriffen werden. "Wir haben so etwas noch nie gesehen." Die Dimension der Arbeit, die dafür nötig sei, weise auf staatliche Akteure wie Geheimdienste hin. DeWalt machte jedoch keine Angaben dazu, welche Länder dafür infrage kommen.

Keine Schwachstellen, sondern manipulierte Firmware

Die Angreifer nutzten nach Angaben von Fireeye und Cisco keine Schwachstellen in den Routern selbst, sondern verwendeten Standard-Zugangsdaten, die von den jeweiligen Betreibern nicht geändert worden waren. In einigen Fällen sollen die Angreifer Zugangsdaten anderweitig ermittelt haben - dazu machten Cisco und Fireeye keine detaillierten Angaben.

Nachdem die Angreifer sich Zugriff auf die Geräte verschafft hatten, spielten sie die Malware auf die Geräte auf. Dazu manipulierten sie die ROM-Monitor-Firmware (Cisco IOS ROMMON), die für den Start der Geräte zuständig ist und grundlegende Änderungen der Einstellungen ermöglicht.

Über die manipulierte Firmware können Angreifer weitere Angriffsmodule laden und über ein Backdoor-Passwort in die Geräte eindringen. Die Schadsoftware bleibt auch nach einem Neustart des Rooters aktiv, vom Angreifer über die Firmware geladene Module müssten dann jedoch neu gestartet werden.

Malware überschreibt legitime Funktionen der Firmware

Die Malware verändert die Attribute des Translation-Lookaside-Buffers (TLB) von "Read Only" zu "Read/Write". Die Forscher vermuten, dass dies für die korrekte Ausführung von Modulen, die von der Malware nachgeladen werden, erforderlich sei. Um die Größe des IOS-Images nicht zu verändern, überschreiben die Angreifer Funktionen der Firmware zudem mit eigenem Code. Dabei achten sie den Angaben von Fireeye zufolge darauf, keine vom Router tatsächlich genutzten Funktionen stillzulegen. Dies spricht für eine sehr ressourcenstarke Kampagne, die ihre Angriffe jeweils individuell anpasst.

Mit der Malware manipulierte Geräte weisen einen nichtstandardisierten TCP-Handshake auf. Diesen Handshake nutzte das ZMAP-Projekt um weltweit nach infizierten Geräten zu suchen. Sie fanden in mehreren Scans 79 infizierte Geräte, hauptsächlich aus Asien und Afrika. Auch 25 Geräte aus den USA waren betroffen - alle im Netz eines einzigen ISP.

Betroffene Cisco-Geräte sind die Router mit den Bezeichnungen 1841, 2811 und 3825. Aufgrund von Ähnlichkeiten in der Firmware der Geräte könnten aber auch noch weitere Modelle betroffen sein, so Fireeye. Alle in der ursprünglichen Untersuchung ermittelten Kunden wurden nach Angaben von Cisco vorab informiert.


eye home zur Startseite
root666 17. Sep 2015

Ja das erinnert mich an einen Fall wo ein Router getauscht werden sollte und unser...

User_x 16. Sep 2015

Und das Blog gelesen ;-)



Anzeige

Stellenmarkt
  1. BRUNATA Wärmemesser GmbH & Co. KG, München
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. Virtual Solution AG, München
  4. NKM Noell Special Cranes GmbH, Würzburg, Veitshöchheim


Anzeige
Top-Angebote
  1. (u. a. Crucial Ballistix Sport 16-GB-DDR4 für 121€ + 4,99€ Versand)
  2. 799€
  3. 429€

Folgen Sie uns
       


  1. Teardown

    iFixit findet größeren Akku in Apple Watch Series 3

  2. Coffee Lake

    Intel verkauft sechs Kerne für unter 200 Euro

  3. MacOS 10.13

    Apple gibt High Sierra frei

  4. WatchOS 4.0 im Test

    Apples praktische Taschenlampe mit autarkem Musikplayer

  5. Werksreset

    Unitymedia stellt Senderbelegung heute in Hessen um

  6. Aero 15 X

    Mehr Frames mit der GTX 1070 im neuen Gigabyte-Laptop

  7. Review Bombing

    Valve verbessert Transparenz bei Nutzerbewertungen auf Steam

  8. Big Four

    Kundendaten von Deloitte offenbar gehackt

  9. U2F

    Yubico bringt winzigen Yubikey für USB-C

  10. Windows 10

    Windows Store wird zum Microsoft Store mit Hardwareangeboten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: ¤3000 bei ¤70k.... macht keinen grossen...

    Niaxa | 07:11

  2. Re: Was ihnen Golem unterschlägt

    Zuryan | 07:11

  3. Re: 67W im Idle - Aua

    Der Held vom... | 07:08

  4. Re: Die Atmen App...

    Niaxa | 07:02

  5. Re: Das stimmt imho so nicht, ...

    ArcherV | 07:00


  1. 07:23

  2. 07:08

  3. 19:40

  4. 19:00

  5. 17:32

  6. 17:19

  7. 17:00

  8. 16:26


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel