Сетевое оборудование компании Cisco, в особенности маршрутизаторы, является неотъемлемой частью Интернета и корпоративных сетей, что делает их крайне привлекательными мишенями для атакующих.
Исследователи из FireEye обнаружили новый тип атак, в ходе которых хакеры модифицируют прошивку маршрутизаторов Cisco для достижения стойкого присутствия в системе.
Подобная техника, названная SYNful Knock, позволяет атакующим занять крайне выгодную позицию в сети, позволяющую им наблюдать за трафиком и в случае чего атаковать другие машины, чтобы поставить под угрозу безопасность пользователей. Исследователи заявляют, что атакующие используют модифицированный IOS-образ, при этом не полагаясь на эксплойт каких-либо новых уязвимостей. Скорее всего, они используют дефолтные или краденые учетные данные, для того чтобы получить изначальный доступ к устройствам.
«Атакующие используют модифицированный IOS-образ, для того чтобы внедрить в систему различные функциональные модули. Они также получают неограниченный доступ к устройству за счет внедрения секретного бэкдор-пароля. Каждый из модулей активируется через протокол HTTP (не HTTPS) при помощи специально созданных TCP-пакетов, посылаемых на сетевой интерфейс устройства, — говорится в аналитическом докладе исследователей Билла Хау (Bill Hau) и Тони Ли (Tony Lee) из FireEye. — Пакеты имеют нестандартные порядковые номера и номера подтверждения. Модули могут представлять собой как независимый исполняемый код, так и программную привязку, имеющую функционал, схожий с бэкдор-паролем. Бэкдор-пароль позволяет подсоединиться к устройству при помощи консоли или Telnet».
Эксперты заявляют, что подобного рода атакам подвержены маршрутизаторы моделей 1841, 2811 и 3825. Модифицированный IOS-образ, используемый атакующими, продолжает использоваться системой даже после перезагрузки, а вот дополнительные модули располагаются в энергозависимой памяти и пропадают при перезагрузке устройства.
Вредоносное внедрение вносит изменения в функции IOS, создавая указатели для запуска вредоносного ПО, а также перезаписывает ряд других функций. После того как вредоносный IOS-образ внедрен на устройство, атакующие используют модульную C&C-систему для поддержания связи с ним.
«C&C-функционал является крайне скрытным, поскольку для поддержания связи используется ряд TCP-пакетов, содержащих специфические значения заголовков и содержимого. Даже если на устройстве включена фильтрация, подобный пакет все равно будет обработан зловредом. Вредоносное ПО будет реагировать на получение триггер-пакетов, отправленных на один из трех адресов: сетевой интерфейс маршрутизатора, широковещательный IP-адрес и адрес сети (первый IP-адрес в подсети)», — говорится в докладе FireEye.
Способ атаки, обнаруженный специалистами FireEye, схож с тем, о котором предупреждали представители Cisco в прошлом месяце. В ходе тех атак злоумышленники получали доступ к устройствам под управлением IOS при помощи валидных учетных данных и загружали на них вредоносный образ, используемый ROM Monitor.
«Во всех случаях атакующие получали доступ, используя валидные администраторские учетные данные, в дальнейшем заменяя существующий образ на вредоносный. После установки нового образа и перезагрузки IOS-устройства атакующий получал возможность управлять работой устройства. Использование вредоносных ROMMON-образов позволяет атакующим иметь стойкое присутствие в системе», — говорилось в бюллетене Cisco.
