Các nhà nghiên cứu đã quan sát thấy một phương thức tấn công mới, trong đó kẻ tấn công giấu mã độc vào firmware trong router của Cisco và mã độc này có thể tồn tại sau khi khởi động lại.
Router và switch thường không nằm trong danh sách kiểm tra an ninh của hầu hết các tổ chức, chủ yếu là vì rất ít kỹ sư an ninh có đủ kiến thức để biết được router và switch có thể có mã độc.
Điều này được củng cố bởi thực tế là hầu hết các thiết bị mạng không được trang bị kỹ thuật để chạy phần mềm an ninh như tường lửa, mà khi kết hợp với sự thiếu quan tâm của nhân viên, có thể tạo ra một lỗ hổng an ninh lớn trong hệ thống phòng thủ của công ty.
Firmware của Cisco nuôi dưỡng mã độc
Phương thức tấn công mới này, được đặt tên SYNful Knock bởi các nhà nghiên cứu của FireEye, cho phép tin tặc truy cập thông tin đăng nhập của router và cài đặt một phiên bản IOS sửa đổi, một hệ điều hành đặc biệt được phát triển bởi Cisco cho tất cả các thiết bị mạng hiện đại của mình.
Các phiên bản trước của mã độc router luôn được lưu trữ trong bộ nhớ của thiết bị, có nghĩa là khởi động lại router sẽ loại bỏ bất cứ lây nhiễm nào vì bộ nhớ bị xóa sạch trong quá trình khởi động lại.
Bằng cách lưu mã độc trong hệ điều hành riêng trên một ổ đĩa flash, không phải RAM, tin tặc đã tạo ra một điểm truy cập có thể tái sử dụng cho các cuộc tấn công của mình.
Điều này là do mã độc cung cấp một backdoor đến các router, có thể được khai thác từ xa qua giao diện điều khiển hoặc qua Telnet.
Mã độc cũng cho phép tin tặc tải mô-đun qua các gói TCP sửa đổi
Tin xấu không chỉ dừng lại ở đây. Ngoài backdoor, mã độc cũng có khả năng nghe được các cổng của router, và xem được các gói TCP được chế tác đặc biệt.
Điều này cho phép tin tặc điều khiển router từ xa, gửi các lệnh dưới hình thức lưu lượng Internet thường xuyên.
Với các lệnh này, tin tặc có thể tải các mô-đun đặc biệt vào trong bộ nhớ của router để thực hiện các loại hình tấn công khác nhau, như tìm kiếm lưu lượng dữ liệu, chuyển hướng người dùng đến các trang web cụ thể, hoặc tham gia vào các cuộc tấn công DDOS.
Khi các mô-đun được tải vào bộ nhớ của router, khởi động lại sẽ loại bỏ chúng khỏi các thiết bị bị lây nhiễm. Không may là, điều này không thể ngăn chặn kẻ tấn công vì chúng có thể dễ dàng tải lại các mô-đun.
Cho đến giờ chỉ có 14 router bị nhiễm SYNful Knock
Theo các nhà nghiên cứu của FireEye, 14 router bị lây nhiễm được phát hiện tại Ấn Độ, Mexico, Philippines, và Ukraine. Tất cả đều trong các mạng khép kín.
Các dòng router bị ảnh hưởng là Cisco 1841, 2811, và 3825. Cisco đã ngừng sản xuất các dòng router này, nhưng các nhà nghiên cứu không loại trừ khả năng các dòng mới đây cũng có thể bị khai thác.
Nguồn: Sưu tầm
