SYNful Knock: Forscher finden gehackte Cisco-Router auch in Deutschland und den USA

Die Malware SYNful Knock, auf die FireEye Anfang der Woche aufmerksam gemacht hat, ist offenbar deutlich weiter verbreitet als bisher angenommen. Forscher haben sie inzwischen auf 79 Cisco-Routern in 19 Ländern gefunden, darunter auch Geräte von Internet Service Providern in Deutschland und den USA, wie Ars Technica berichtet.

FireEye konnte die modifizierten Betriebssystem-Images bisher auf 14 Routern in Indien, Mexico, den Philippinen und der Ukraine nachweisen. Die Sicherheitsfirma ging allerdings davon aus, dass noch weitere Router betroffen sind, die bislang lediglich noch nicht entdeckt wurden. Dies sei aufgrund der Kommunikationsstruktur relativ schwierig, hieß es im FireEye-Advisory: „Es kann schwierig sein, eine Backdoor zu entdecken, da häufig nicht-standardisierte Pakete als eine Art Pseudo-Authentifizierung verwendet werden. Selbst das Aufspüren einer Backdoor im eigenen Netzwerk kann eine Herausforderung sein, für ein Router-Implantat gilt das umso mehr.“

Dem Bericht von Ars Technica zufolge nutzten die Forscher nun genau diese nicht-standardisierten Pakete, um weitere anfällige Router aufzuspüren. „Wir sind in der Lage nach infizierten Servern zu scannen, ohne die Anfälligkeit zu aktivieren, indem wir ZMap modifizieren und speziell gestaltete TCP-SYN-Pakte verschicken. Am 15.September haben wir vier Scans des öffentlichen IPv4-Adressraums abgeschlossen und 79 Hosts gefunden, die ein dem SYNful-Knock-Implantat entsprechendes Verhalten zeigen“, zitiert Ars Technica die Forscher.

Demnach befinden sich alleine in den USA 25 Cisco-Router, bei denen Angreifer gültige Anmeldedaten von Administratoren benutzt haben, um die falsche Software über den ROMMON-Upgrade-Prozess einzuspielen. Dass diese Möglichkeit in der Theorie besteht, hatte Cisco bereits Mitte August eingeräumt. Obwohl Angreifer so uneingeschränkten Zugriff auf das Netzwerk erlangen, handelt es sich nicht um eine Schwachstelle. Die Eigentümer der Router müssen sich vielmehr fragen lassen, wie die Angreifer in den Besitz der Anmeldedaten kamen oder ob entgegen allen Empfehlungen Default-Einstellungen verwendet wurden.

Im Libanon sind dem Forschern zufolge 12 modifizierte Router im Einsatz, in Russland 8 und in Indien 5. In China, dem Iran, Thailand und der Ukraine fanden sie jeweils drei SYNful-Knock-Implantate, in Kanada, Deutschland, Südafrika und der Türkei jeweils zwei.

Ars Technica schließt nicht aus, dass es sich bei einigen Routers um sogenannte Honeypots handelt, also von Forschern mit SYNful Knock eingerichtete Router, um mehr über die Funktionsweise der Malware und deren Hintermänner zu erfahren. Da viele namhafte Sicherheitsanbieter ihren Sitz in den USA haben, könnte dies eine Erklärung für die große Zahl der dort gefundenen Router sein. Die hohe Verbreitung von SYNful Knock sei aber auch ein Beleg dafür, dass es sich um eine professionell entwickelte Schadsoftware handele.

FireEye selbst erklärte am Dienstag, die Angriffe würden wahrscheinlich von staatlichen Stellen gesponsert. Außerdem sei nicht auszuschließen, dass auch Netzwerkgeräte anderer Hersteller für eine Backdoor wie SYNful Knock anfällig seien, wofür es laut Ars Technica aber bisher keine Anhaltspunkte gibt.