Nieuws
image

Cisco lanceert scanner voor vinden van gehackte routers

donderdag 24 september 2015, 10:18 door Redactie, 5 reacties

Cisco heeft een scanner gelanceerd waarmee organisaties gehackte routers op hun netwerk kunnen vinden waarvan de firmware is aangepast. Aanvallers blijken via gestolen wachtwoorden of fysieke toegang Cisco-routers te hacken en installeren vervolgens een aangepast besturingssysteem.

Dit aangepaste besturingssysteem wordt de SYNful Knock-malware genoemd. Via de malware blijven de aanvallers toegang tot het bedrijfsnetwerk houden, ook al wordt de router gereset. Onlangs voerde Cisco een scan uit op internet en ontdekte 199 IP-adressen die met de SYNful Knock-malware waren besmet. Nu heeft Cisco een tool ontwikkeld waarmee klanten gehackte routers op hun eigen netwerk kunnen vinden. Het gaat in dit geval alleen om routers die met de SYNful Knock-malware zijn besmet.

De tool komt wel met een gebruiksaanwijzing. Het draaien van de tool via Network address translation (NAT) kan de nauwkeurigheid van de tool beïnvloeden en ervoor zorgen dat de tool gehackte routers niet detecteert. Cisco adviseert dan ook om de tool vanaf een netwerklocatie uit te voeren waar er geen NAT tussen het scansysteem en de routers is.

Reacties (5)
24-09-2015, 10:22 door Anoniem
Hoe noemen ze dit een man (lees chinees) in the router attack?
24-09-2015, 12:04 door Anoniem
Door Anoniem: Hoe noemen ze dit een man (lees chinees) in the router attack?

Chinees ?
Yank is zeker zo aannemelijk.
24-09-2015, 14:25 door SPlid
Door Anoniem:
Door Anoniem: Hoe noemen ze dit een man (lees chinees) in the router attack?

Chinees ?
Yank is zeker zo aannemelijk.

Absoluut, ik herinner me dat ik gelezen heb dat bestelde routers altijd een tripje maakten langs de NSA voordat ze naar de besteller gingen .
24-09-2015, 15:42 door Anoniem
onzin. Een beetje Intelligence Service maakt wel gebruik van een supply chain attack, maar zet er niet op deze wijze malware op. 1. Te makkelijk detecteerbaar en 2. Te eenvoudig te mitigeren

Geavanceerde supply chain attacks vervangen bijvoorbeeld hardware componenten. Ik herinner me een artikel van RSA over een aanval waarbij gedurende het transport tussen fabriek en vendor modules werden aangepast. Dit werd gedetecteerd doordat het apparaat een paar gram zwaarder was dan het origineel.
24-09-2015, 19:12 door Anoniem
Door SPlid:
Door Anoniem:
Door Anoniem: Hoe noemen ze dit een man (lees chinees) in the router attack?

Chinees ?
Yank is zeker zo aannemelijk.

Absoluut, ik herinner me dat ik gelezen heb dat bestelde routers altijd een tripje maakten langs de NSA voordat ze naar de besteller gingen .

Dat heb ik ook gelezen, maar de genoemde modellen routers met trojaned IOS gaan in (relatief) enorme volumes . En heel eerst naar resellers, zonder dat er nog een eindklant voor is. (lopende voorraad).
Kortom - in de supply chain weet je nog niet welke je moet aanpassen die op de interessante plek terecht gaat komen.

Het volume van de high-end routers is veel kleiner, is de kans groot dat de klant-relatie direct met cisco is (grote klant, dure router) en dat de bestelde router dus verstuurd wordt aan de eindklant en niet aan een reseller. Voor sommige modellen kun je garanderen dat het service provider core of service provider edge routers gaan worden.
In die situatie verwacht ik eerder een modificatie in de supply chain (trojaned bootrom, microcode e.d. ) dan voor de beschreven aanval op deze modellen routers.

De landen waar het is aangetroffen maken yanks meer plausibel - als het chinezen waren, verwacht je de trojan ook/vooral in de VS .
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search