Hacker hinterlassen an russischen Cisco-Switchen US-Flagge

„Dont’t mess with our elections“, lautete die Nachricht von Hackern, die Rechenzentren in Russland und Iran angegriffen hatten. Dabei nutzen sie ein seit etwa einem Monat behobenes Sicherheitsleck von Cisco.

Die Sicherheitsexperten von Kaspersky haben eine ungewöhnliche Hacker-Kampagne beobachtet. Über ein Leck in Cisco-Switches wurden Nutzer vor allem in Russland und Iran angegriffen. Der Netzwerkausrüster hatte vor einigen Wochen einen Fix für das Leck in dem Protokoll Smart Install veröffentlicht.

Ein Angreifer kann über Smart Install Messages die Start-Konfiguration ändern und damit ein neues Image des Netzwerk-Betriebssystems IOS installieren. Der Angreifer kann dann beliebigen Code ausführen.

ciscocalypse

Jetzt warnt Cisco erneut vor Missbrauch dieses Protokolls. Der Hersteller hat offenbar einen deutlichen Zuwachs bei Scans nach verwundbaren Smart Clients bemerkt. Laut Cisco sollen Hacker mit staatlichem Hintergrund versuchen, diese Lecks bei Organisationen mit kritischen Infrastrukturen auszunutzen. Auch das US-CERT warnt vor einer höheren Aktivität rund um dieses Leck durch die Hackergruppe Dragonfly.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

Jetzt haben unbekannte einen Bot entwicklet, der über die IoT-Suchmaschine Shodan nach angreifbaren Switchen sucht und dann automatisiert die Angriffe auf die Switche durchführt.
Der Angreifer überschreibt dann die Konfigurationsdatei und blendet dann eine Calling-Card mit dem Text: „Don’t mess with out elections…. –JHT usafreedom_jht@tutanota.com“. Tutanota ist ein alternativer Anbieter verschlüsselter Mailboxen. Anschließend wird der Switch deaktiviert. Laut Kaspersky werden vor allem russische Rechenzentren und Internet Service Provider auf diese Weise angegriffen.

Gegenüber Motherboard erklärte der Inhaber der Adresse, dass man einfach genug von den staatlich gestützten Cyberattacken auf die Vereinigten Staaten hätte und man auf diese Weise ein Zeichen setzen wollte. Man habe zwar auch in anderen Ländern nach verwundbaren Switchen gescannt, jedoch nur Geräte in Russland und Iran angegriffen. Die Hacker sollen sogar unsichere Switche in den USA und im vereinigten Königreich gepatcht, das heißt sicher konfiguriert haben.

Talos, Ciscos Sicherheitsforschungsteam geht davon aus, dass knapp 170.000 Instanzen mit Smart Install nicht richtig konfiguriert wurden. Daher veröffentlichte Cisco auch noch eine weitere Warnung, weil zahlreiche Scans nach verwundbaren Switchen registriert wurden.

Wie die Nachrichtenagentur Reuters berichtet, soll das iranische Technologie-Ministerium circa 3500 angegriffene Router gemeldet haben. Davon sollen jedoch die meisten bereits wieder hergestellt sein.

Tipp: Kennen Sie die größten Technik-Flops der IT-Geschichte? Überprüfen Sie Ihr Wissen – mit 14 Fragen auf silicon.de.

Whitepaper

CAD-Daten optimal verwalten: ECM-Lösungen vereinfachen Planmanagement

Wie ECM-Systeme CAD-Prozesse verbessern können, was eine gute ECM-Lösung beim Planmanagement auszeichnet und warum sich nscale CAD als spezialisierte Lösung für das Planmanagement anbietet, erklärt dieses Whitepaper.

Themenseiten: Router, Russland, Sicherheit, Switches, USA

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Hacker hinterlassen an russischen Cisco-Switchen US-Flagge

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *