Зафиксирована атака с подстановкой бэкдора в маршрутизаторы Cisco

15 сентября 2015 года

Группа исследователей из специализирующейся на компьютерной безопасности компании FireEye выявила новую вредоносную активность, связанную со скрытой модификации прошивок маршрутизаторов Cisco с внедрением бэкдора SYNful Knock, позволяющего контролировать проходящий через маршрутизатор транзитный трафик и использовать маршрутизатор как точку для проведения атак на внутреннюю сеть. В результате исследования в Сети выявлено 14 поражённых маршрутизаторов, территориально находящихся в Индии, Мексике, Филиппинах и Украине.

Известно, что атака производится как минимум на модели Cisco 1841, 2811 и 3825. Для данных моделей атакующими был подготовлен вариант прошивки, содержащий скрытый бэкдор, в обычных условиях никак себя не проявляющий и активируемый при выявлении в трафике специально оформленных управляющих пакетов, что существенно затрудняет выявление атакованных устройств. Как правило, для выявления бэкдора требуется анализ дампа прошивки (Архивная копия от 11 декабря 2017 на Wayback Machine). В качестве наиболее вероятного способа проникновения на маршрутизатор называется подбор типовых паролей или перехват параметров доступа в результате проведения других атак.

Бэкдор обладает достаточно широкими возможностями, в том числе позволяет загружать модули, расширяющие его функциональность и позволяющие применять различные виды атак. Для активации модуля на 80 сетевой порт (HTTP) маршрутизатора отправляется специально оформленный TCP SYN-пакет. Модули могут представлять собой как независимые исполняемые блоки кода, так и обработчики различной функциональности Cisco IOS. Например, через подобный модуль реализована возможность входа на маршрутизатор по протоколу telnet с предопределённым злоумышленниками паролем. Бэкдор размещается с внесением изменений в прошивку, что позволяет сохранить его работоспособность после перезагрузки.

Компания Cisco подтвердила наличие поражённых устройств и опубликовала сигнатуры ( Snort Rule SID:36054) для выявления и блокирования вредоносной активности. Кроме того, отмечено, что в августе был представлен отчёт о выявлении похожих атак, в результате которых злоумышленники осуществляли замену загрузчика Cisco IOS (ROMMON).

Дополнение: выявлено ещё 79 поражённых маршрутизаторов Cisco, в том числе 25 у одного из американских провайдеров. Для выявления установки бэкдора предлагается (Архивная копия от 8 ноября 2020 на Wayback Machine) несколько способов, в том числе использование специального NSE-скрипта и nmap для отправки проверочных пакетов, на которые реагирует бэкдор.