Μια νέα μέθοδος επίθεσης έχει παρατηρηθεί από ερευνητές της FireEye, κατά την οποία οι εισβολείς κρύβουν κακόβουλο λογισμικό στο εσωτερικό του firmware των Cisco Routers, κακόβουλο λογισμικό το οποίο είναι σε θέση να επιβιώσει και μετά από επανεκκινήσεις.
Οι δρομολογητές και τα switches τακτικά αφήνονται έξω από τις λίστες ελέγχου ασφάλειας στο εσωτερικό σχεδόν όλων των οργανισμών, κυρίως επειδή πολύ λίγοι μηχανικοί ασφαλείας είναι μορφωμένοι ώστε να γνωρίζουν ότι μπορούν να φιλοξενούν κακόβουλα προγράμματα.
Αυτή η γενική ιδέα ενισχύεται επίσης από το γεγονός ότι το μεγαλύτερο μέρος του εξοπλισμού του δικτύου δεν συνοδεύεται με τεχνικό εξοπλισμό για να τρέξει το λογισμικό ασφαλείας όπως τα firewalls, τα οποία όταν συνδυάζονται με την έλλειψη προσοχής από το προσωπικό της εταιρείας, μπορούν να αφήσουν μια μεγάλη τρύπα ασφαλείας στην άμυνα της εταιρίας.
Συγκεκριμένα. αυτή η νέα μέθοδος επίθεσης, που ονομάζεται SYNful Knock από τους ερευνητές της FireEye, βασίζεται σε κακόβουλους φορείς που αποκτούν πρόσβαση στα διαπιστευτήρια σύνδεσης ενός δρομολογητή εγκαθιστώντας μια τροποποιημένη έκδοση του IOS, ένα ειδικό λειτουργικό σύστημα που αναπτύχθηκε από τη Cisco για το σύνολο του σύγχρονου εξοπλισμού του δικτύου της.
Οι προηγούμενες εκδόσεις του router malware αποθηκεύονται πάντα στη μνήμη της συσκευής, πράγμα που σημαίνει ότι η επανεκκίνηση του δρομολογητή συνήθως θα καθαρίσει από οποιαδήποτε μόλυνση, δεδομένου ότι η μνήμη έχει ξεχαστεί κατά την επανεκκίνηση.
Αυτή τη φορά όμως, με την αποθήκευση του malware τους στο ίδιο το λειτουργικό σύστημα, το οποίο είναι αποθηκευμένο σε ένα flash drive και όχι τη μνήμη RAM, οι επιτιθέμενοι έχουν δημιουργήσει ένα επαναχρησιμοποιήσιμο σημείο εισόδου για τις επιθέσεις τους.
Αυτό οφείλεται στο γεγονός ότι το κακόβουλο λογισμικό παρέχει μια κερκόπορτα στους δρομολογητές Cisco, η οποία μπορεί να αξιοποιηθεί από μακριά μέσω της κονσόλας ή μέσω Telnet.
Όμως τα κακά νέα δεν τελειώνουν εδώ. Εκτός από την backdoor, το κακόβουλο λογισμικό έχει επίσης τη δυνατότητα να «ακούει» τις πόρτες του router, και να παρακολουθήσει ειδικά δημιουργημένα πακέτα TCP.
Αυτό επιτρέπει στους επιτιθέμενους να ελέγξουν τη συμπεριφορά του δρομολογητή από μακριά, στέλνοντας εντολές με τη μορφή κανονικής κίνησης του Internet.
Με τη βοήθεια αυτών των εντολών, οι επιτιθέμενοι θα μπορούσαν να κάνουν το malware να φορτώνει ειδικές μονάδες στη μνήμη του δρομολογητή, οι οποίες στη συνέχεια χρησιμοποιούνται για την εκτέλεση διαφόρων τύπων επιθέσεων, όπως sniffing traffic, ανακατεύθυνση χρηστών σε συγκεκριμένες ιστοσελίδες, ή συμμετοχή σε επιθέσεις DDOS.
Από τη στιγμή που τα στοιχεία αυτά που φορτώνονται στη μνήμη του δρομολογητή, μια επανεκκίνηση συνήθως τα αφαιρεί από τις μολυσμένες συσκευές. Δυστυχώς, όμως αυτό δεν θα σταματήσει τους εισβολείς, οι οποίοι θα μπορούσαν να τα φορτώσουν και πάλι πολύ εύκολα.
Τέλος, σύμφωνα με τους ερευνητές της FireEye, 14 μολυσμένα routers αποκαλύφθηκαν στην Ινδία, το Μεξικό, τις Φιλιππίνες και την Ουκρανία. Όλοι οι δρομολογητές ήταν σε κλειστά δίκτυα.
Τα επηρεαζόμενα μοντέλα είναι τα Cisco 1841, 2811, και 3825. Η Cisco έχει σταματήσει την παραγωγή αυτών των μοντέλων router, αλλά οι ερευνητές της FireEye δεν αποκλείουν το ενδεχόμενο ότι τα πλέον πρόσφατα μοντέλα θα μπορούσαν να αξιοποιηθούν, ομοίως.
