SYNful Knock: Forscher entdecken Malware auch auf deutschen Cisco-Routern

SicherheitVirus
Malware Trojaner Virus (Bild: Shutterstock/Blue Island)

Die Zahl der infizierten Router ist derweil von 14 auf 79 gestiegen. Auch in den USA haben Experten allein 25 gehackte Geräte gefunden. Zu diesem Zweck scannen sie den kompletten öffentlich erreichbaren IPv4-Adressraum mit einem modifizierten, quelloffenen Netzwerk-Scanner.

Die Malware SYNful Knock, vor der FireEye zu Beginn der Woche gewarnt hat, ist offenbar deutlich weiter verbreitet als bislang vermutet. Inzwischen haben Forscher sie auf 79 Cisco-Routern in 19 Ländern entdeckt, unter den befallenen Geräten finden sich auch solche von Internet Service Providern in Deutschland und den USA, wie Ars Technica meldet.

cisco (Bild: Cisco)

FireEye konnte die manipulierten, weil modifizierten Firmware-Images bislang auf 14 Routern in Indien, Mexiko, den Philippinen und der Ukraine nachweisen. Der Sicherheitsanbieter ging jedoch davon aus, dass weitere Router betroffen sind, von deren Infektion bislang allerdings niemand weiß. Dies sei aufgrund der Kommunikationsstruktur relativ schwierig, hieß es im FireEye-Advisory: “Es kann schwierig sein, eine Backdoor zu entdecken, da häufig nicht-standardisierte Pakete als eine Art Pseudo-Authentifizierung verwendet werden. Selbst das Aufspüren einer Backdoor im eigenen Netzwerk kann eine Herausforderung sein, für ein Router-Implantat gilt das umso mehr.”

Laut dem Bericht von Ars Technica nutzten die Forscher nun genau diese nicht-standardisierten Pakete, um weitere anfällige Router aufzuspüren. “Wir sind in der Lage nach infizierten Servern zu scannen, ohne die Anfälligkeit zu aktivieren, indem wir ZMap [ein quelloffener Netzwerk-Scanner] modifizieren und speziell gestaltete TCP-SYN-Pakte verschicken. Am 15. September haben wir vier Scans des öffentlichen IPv4-Adressraums abgeschlossen und 79 Hosts gefunden, die ein dem SYNful-Knock-Implantat entsprechendes Verhalten zeigen”, zitiert Ars Technica die Forscher.

Demzufolge befinden sich allein in den USA 25 Cisco-Router, bei denen Angreifer gültige Anmeldedaten von Administratoren benutzt haben, um die falsche Firmware über den ROMMON-Upgrade-Prozess einzuspielen. Dass diese Möglichkeit in der Theorie besteht, hatte Cisco schon Mitte August eingestanden. Obwohl Angreifer so uneingeschränkten Zugriff auf das Netzwerk erlangen, handelt es sich nicht um eine Schwachstelle. Die Eigentümer der Router müssen sich vielmehr fragen lassen, wie die Angreifer in den Besitz der Anmeldedaten kamen oder ob entgegen allen Empfehlungen die Standard-Einstellungen nicht abgeändert wurden.

Den Forschern zufolge sind im Libanon 12 modifizierte Router im Einsatz, in Russland 8 sowie in Indien 5. In China, dem Iran, Thailand und der Ukraine fanden sie jeweils drei SYNful-Knock-Implantate, in Kanada, Deutschland, Südafrika und der Türkei jeweils zwei.

Ars Technica schließt nicht aus, dass es sich bei einigen Routers um sogenannte Honeypots handelt, also von Forschern absichtlich mit SYNful Knock infizierte Router, wodurch sie mehr über die Funktionsweise der Malware sowie deren Hintermänner erfahren könnten. Da viele namhafte Sicherheitsanbieter ihren Sitz in den USA haben, könnte dies eine Erklärung für die große Zahl der dort gefundenen Router sein. Die hohe Verbreitung von SYNful Knock sei ebenso ein Beleg dafür, dass es sich um eine professionell entwickelte Schadsoftware handele.

FireEye selbst erklärte am Dienstag, die Angriffe würden wahrscheinlich von staatlichen Stellen gesponsert. Außerdem sei nicht auszuschließen, dass auch Netzwerkgeräte anderer Hersteller für eine Backdoor wie SYNful Knock anfällig seien, wofür es laut Ars Technica aber bisher keine Anhaltspunkte gibt.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen