Всего несколько дней назад исследователи опубликовали подробности новой техники, используемой атакующими для компрометации маршрутизаторов Cisco путем подмены прошивки, а их коллеги уже успели полностью просканировать адресное пространство IPv4 и обнаружили всего 79 устройств, которые, скорее всего, являются скомпрометированными маршрутизаторами.

Исследователи из Мичиганского университета воспользовались своей утилитой Zmap, которая позволила им просканировать всю Сеть всего за 45 минут в поисках маршрутизаторов Cisco с вредоносным IOS-образом, используемым в текущих атаках. Они обнаружили 25 скомпрометированных устройств на территории США, все они ассоциируются с одним провайдером с Восточного побережья.

В минувший вторник исследователи из FireEye заявили, что зафиксировали новый тип атак, в ходе которых злоумышленники получали доступ к устройствам при помощи краденых или дефолтных учетных данных, а затем загружали на них IOS-образ, содержащий модифицированную прошивку со встроенным бэкдором. В дальнейшем атакующие могут в любой момент подсоединиться к устройству и установить на него дополнительные модули.

«Атакующие используют модифицированный IOS-образ, чтобы внедрить в систему различные функциональные модули из анонимного Интернета. Они также получают неограниченный доступ к устройству с помощью секретного пароля к бэкдору. Каждый из модулей активируется через протокол HTTP (не HTTPS) при помощи специально созданных TCP-пакетов, посылаемых на сетевой интерфейс роутера», — говорится в аналитическом отчете исследователей Билла Хау (Bill Hau) и Тони Ли (Tony Lee) из FireEye.

Вредоносная прошивка имеет уникальный цифровой отпечаток, по которому команда исследователей из Мичиганского университета, Калифорнийского университета в Беркли и Международного института информатики смогла за несколько циклов сканирования обнаружить скомпрометированные устройства. Всего они обнаружили 79 маршрутизаторов с вредоносной прошивкой, расположенных по всему миру.

«Эти сетевые устройства принадлежат разным организациям из 19 стран. Мы не смогли выявить видимой связи между этими организациями, однако отметили удивительно много роутеров (IP-адресов) на территории Африки и Азии. 25 обнаруженных хостов принадлежат интернет-провайдеру из США, а хосты, обнаруженные на территории Германии и Ливана, принадлежат одному и тому же оператору спутниковой связи, обслуживающему Африку», — пишут исследователи о результатах сканирования.

При установке TCP-соединения с маршрутизатором атакующие используют особый handshake-пакет, и исследователи воспользовались этой же техникой, но не стали завершать процедуру подтверждения связи и заходить на устройство. Вместо этого они закрыли соединение после получения ответа, который тем не менее позволил им понять, скомпрометировано устройство или нет.

Категории: Вредоносные программы, Главное