Четырнадцать маршрутизаторов Cisco в Украине, Филиппинах, Мексике и Индии имплантировались с вредоносным кодом посредством нового нападения Удара SYNful, FireEye находит.Взламывание маршрутизаторов является преступлением в большинстве юрисдикций и по крайней мере в 14 известных случаях во всем мире, это – также результат SYN (объявленный «грехом»), который является пакетным компонентом синхронизации TCP.
Фактически, подразделение FireEye Mandiant сообщило на этой неделе, что нашло по крайней мере 14 инцидентов, в которых так называемый «Удар SYNful» нападают на маршрутизаторы Cisco, на которые повлияли, в Украине, Филиппинах, Мексике и Индии.С Ударом SYNful встроенное микропрограммное обеспечение маршрутизатора Cisco IOS по умолчанию так или иначе заменяют или вмешиваются, позволяя атакующему имплантировать черный ход. Cisco уже принимает меры для защиты ее клиентов и опубликовала руководство о том, как обнаружить и смягчить нападение.Mandiant нашел и сообщил о нападении Удара SYNful Cisco до публикации подробных данных об уязвимости 15 сентября.
«Эти нападения не используют уязвимости, но вместо этого используют поставившие под угрозу учетные данные или физический доступ для установки вредоносного программного обеспечения на сетевых устройствах», сказал представитель Cisco eWEEK. «Мы совместно использовали руководство о том, как клиенты могут укрепить свою сеть, и предотвращать, обнаруживать и повторно добиваться этого типа нападения. Мы благодарим Mandiant/FireEye за их дополнительный фокус на защите наших совместно используемых клиентов, и для добавления их речи к требованиям большего фокуса на сетевой безопасности».В то время как о нападении Удара SYNful сначала сообщают по устройствам Cisco, это не уникально ни для чего определенного, которое Cisco делает на ее аппаратных средствах. FireEye также подчеркивает, что пользователи не загрузили злонамеренное микропрограммное изображение самостоятельно также.
«Атакующий сначала поставил под угрозу маршрутизатор и затем загрузил измененное изображение маршрутизатора, чтобы поддержать персистентность и получить дополнительные возможности», сказал Тони Ли, технический директор в FireEye, eWEEK. «Это не было отказом жертв, загружающих плохое изображение».Исследование FireEye указывает, что встроенное микропрограммное обеспечение маршрутизатора имплантирует обеспеченный неограниченный доступ с помощью секретного закулисного пароля. Ли объяснил, что, а не закулисный пароль, трудно закодированный в имплантат, анализ FireEye состоит в том, что пароль может быть изменен и индивидуализирован на на основание жертвы.
Во многих случаях заражений, атакующие стремятся собрать группы активов и затем использовать их посредством некоторой формы координируемого командного пункта (C&C) технология. В нападении Удара SYNful не ясно, существует ли контроллер.
Ли сказал, что был неспособен прокомментировать, обнаружил ли FireEye узел C&C для нападения Удара SYNful.С технической точки зрения, когда-то атакующий Удара SYNful включает имплантат на маршрутизаторе, вероятно, возможно использовать маршрутизатор через многократные механизмы, и не только посредством протокола TCP-SYN.«Любой протокол или порт, возможно, теоретически использовались», сказал Ли. «Это – просто коммуникация, которую атакующий решил реализовать».
В то время как Cisco является единственным поставщиком, упомянутым в исследовании FireEye Mandiant, Ли подчеркнул, что Cisco не является единственным поставщиком в опасности.«Каждый поставщик сетей подвергается риску того же нападения», сказал он. «Cisco была, скорее всего, выбрана, потому что это – самая большая цель, и таким образом у атакующего будет самый высокий доход для их усилий».Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.