Как минимум 79 маршрутизаторов инфицированы SYNful Knock
Вредоносное ПО изменяет прошивку устройства и предоставляет злоумышленникам доступ к административной консоли.
Во вторник, 15 сентября, компании Mandiant и FireEye опубликовали информацию о вредоносном ПО SYNful Knock, обнаруженном в 14 маршрутизаторах Cisco в Индии, Мексике, Филиппинах и Украине. Вредонос модифицировал прошивку Cisco и предоставлял злоумышленникам неограниченный доступ к сетевому оборудованию, включая возможность загружать дополнительные модули.
Команде исследователей из Университета Мичигана, Университета Беркли и Международного центра компьютерных наук Университета Беркли удалось отследить оставшиеся имплантаты. Эксперты обнаружили по меньшей мере 79 маршрутизаторов в 19 странах со схожими паттернами поведения, что дает повод предполагать, что в них также установлен вредонос SYNful Knock.
Наибольшее количество инфицированных роутеров специалисты обнаружили в США - 25. На втором месте оказался Ливан с 12 маршрутизаторами, на третье место попала Россия с 8 устройствами. Отмечается, что все 25 хостов в США принадлежат одному интернет-провайдеру, действующему на территории Восточного побережья.
Атакующие могут активировать бэкдор с помощью специально сформированного нестандартного рукопожатия TCP. Как только он будет осуществлен, злоумышленник сможет использовать специальный логин для входа в административную консоль и загрузки новых модулей для атаки. Клиент специально отсылает TCP SYN-пакет на 80 порт скомпрометированых хостов. Разница между номером последовательности TCP и подтверждающим номером равна 0xC123D. Инфицированный роутер передает ответ с пакетом SYN+ACK, где:
- Номер подтверждения клиента копируется в изначальный номер последовательности маршрутизатора. Обычно роутер генерирует случайное 32-битное число;
- Срочный указатель равен 0х0001, но срочный флаг не установлен. Согласно спецификациям TCP, срочный указатель должен сопровождаться срочным флагом;
- Статически установлены следующие опции TCP: 02 04 05 b4 01 01 04 02 01 03 03 05.
Клиент завершает хендшейк путем отправки специально сформированного пакета ACK с установленными флагами PUSH и ACK, ASCII-строкой "text" по адресу 0х62 в пакете TCP.
Ваша приватность умирает красиво, но мы можем спасти её.