رهیابهای سیسکو هدف نفوذگران؛ حداقل دو رهیاب آلوده در ایران
به گزارش شرکت مهندسی شبکه گستر، پایش اینترنتی بنیاد Shadowserver نشان می دهد ثابت افزار (Firmware) حداقل 192 رهیاب Cisco در بیش از 30 کشور آلوده به بدافزار شده است.
در 24 شهریور، Mandiant، یکی از زیرمجموعه های شرکت FireEye، از اجرای حملاتی با عنوان SYNful Knock خبر داد که در آنها ثابت افزار رهیاب های با سیستم عامل Cisco IOS با ثابت افزارهای آلوده شده به کدهای مخرب جایگزین می شود. ثابت افزار آلوده، نفوذگران را قادر می سازد تا از طریق یک درب پشتی (Backdoor) به رهیاب متصل شده و ماژول های مخرب را بر روی آن نصب کنند.
در آن زمان، Mandiant اعلام کرد که 14 رهیاب آلوده به SYNful Knock را در چهار کشور مکزیک، اوکراین، هند و فیلیپین شناسایی کرده است. دستگاه های آلوده از مدل های 1841، 2811 و 3825 بودند که شرکت Cisco تولید آنها را متوقف ساخته است.
به گزارش شرکت مهندسی شبکه گستر، پس از اعلام Mandiant، بنیاد Shadowserver با مشارکت شرکت Cisco اقدام به شناسایی دستگاه های بالقوه آلوده نموده است. بر طبق آمار ارائه شده توسط این بنیاد، در زمان نگارش این خبر، حداقل 192 رهیاب آلوده در 32 کشور شناسایی شده است. آمریکا با 76 دستگاه و هند با 16 دستگاه، بیشترین سهم از آلودگی ها را به خود اختصاص داده اند. نام ایران نیز با دو آلودگی در آمار این بنیاد به چشم می خورد.
بنیاد Shadowserver یک تشکیلات غیرانتفاعی و داوطلبانه است که فعالیت های مخرب سایبری، نظیر شبکه های مخرب Botnet، را رصد کرده و در شناسایی و مبارزه با آنها با شرکتها و مراکز امنیتی مشارکت می کند.
نفوذگران می توانند با استفاده از دستگاه های آلوده شده به SYNful Knock اقدام به شنود ترافیک های شبکه، هدایت کاربران به سایت های مخرب و اجرای حملات بر ضد دستگاه های غیر متصل به اینترنت در شبکه داخلی سازمان کنند.
پیچیده ترین قسمت حملات SYNful Knock نحوه جایگزینی تصویر (ISO) ثابت افزار مخرب بجای ثابت افزار اصلی و توانایی در مخفی ماندن طولانی مدت است. حتی پس از راه اندازی مجدد دستگاه، ثابت افزار جعلی، فعال و مخفی باقی می ماند. همچنین امکان آلوده ساختن رهیاب های دیگر در همان شبکه را خواهد داشت.
بدافزارهایی هم که در حملات SYNful Knock بر روی دستگاه قربانی نصب و فعال می شوند، به طرز ماهرانه ای جاسازی می گردند تا با روشهای ساده و متداول قابل شناسایی و تشخیص نباشند. برای اینکه تغییری در حجم و اندازه ثابت افزار رخ ندهد که قابل تشخیص باشد، SYNful Knock ترافیک و رفتار شبکه را که از دستگاه رهیاب عبور می کند، تحت نظر و بررسی قرار داده و توابعی از ثابت افزار را که کاربرد ندارند و یا کمتر مورد استفاده قرار می گیرند، حذف کرده و بجای آن برنامه بدافزار را جاسازی می کند.
با توجه به اینکه دستگاه های هدف قرار گرفته شده معمولاً در شبکه سازمان های بزرگ مورد استفاده قرار می گیرند این نگرانی وجود دارد که حملات، اثرات مخرب جبران ناپذیری را بر جای بگذارند.
شرکت Cisco از چند ماه قبل از این حملات آگاه بوده و با انتشار هشداری امنیتی به کاربران در خصوص نحوه محفاظت از دستگاه های آسیب پذیر اطلاع رسانی کرده است.
حملات SYNful Knock به این زودی ها از بین نخواهد رفت و احتمالا گونه های پیچیده تر و حرفه ای تر آن را در آینده شاهد خواهیم بود. مهاجمین قادر هستند با اندک تغییری در روش خود، از چنگ ابزارهای امنیتی فرار کرده و مخفی باقی بمانند و تا زمانی که ثابت افزار آلوده و دستکاری شده فعال است، می تواند دستورات و فرامین جدید دریافت و اجرا کند و حتی به روز شود.
یک پاسخ
با سلام و ممنون از ارسال مطلب فوق به شركت ملي صنايع مس . خدمت شما بايستي عرض كنم شركت سيسكو به هنگام ارائه IOS خاص checksum آنرا بر روي سايت ارائه مي دهد و اگر قبل از بروز رساني IOS ، از آن sum گرفته شود مي توان به اصالت آن پي برد .