Malware SYNful Knock: gehackte Cisco-Router auch in Deutschland und den USA entdeckt

Forscher haben die SYNful Knock inzwischen auf 79 Cisco-Routern in 19 Ländern gefunden, darunter sind auch Geräte von Internet Service Providern in Deutschland und den USA, wie Ars Technica berichtet. Die Malware ist damit offenbar deutlich weiter verbreitet als bisher angenommen.

Malware (Bild: Shutterstock/Blue Island)

Die Sicherheitsfirma FireEye hatte auf SYNful Knock Anfang der Woche aufmerksam gemacht und konnte die modifizierten Betriebssystem-Images bisher auf 14 Routern in Indien, Mexico, den Philippinen und der Ukraine nachweisen. Das Unternehmen ging allerdings davon aus, dass noch weitere Router betroffen sind, die bislang lediglich noch nicht entdeckt wurden. Dies sei aufgrund der Kommunikationsstruktur relativ schwierig, hieß es im FireEye-Advisory: “Es kann schwierig sein, eine Backdoor zu entdecken, da häufig nicht-standardisierte Pakete als eine Art Pseudo-Authentifizierung verwendet werden. Selbst das Aufspüren einer Backdoor im eigenen Netzwerk kann eine Herausforderung sein, für ein Router-Implantat gilt das umso mehr.”

Die Forscher nutzten dem Bericht von Ars Technica zufolge nun genau diese nicht-standardisierten Pakete, um weitere anfällige Router aufzuspüren. “Wir sind in der Lage nach infizierten Servern zu scannen, ohne die Anfälligkeit zu aktivieren, indem wir ZMap modifizieren und speziell gestaltete TCP-SYN-Pakte verschicken. Am 15.September haben wir vier Scans des öffentlichen IPv4-Adressraums abgeschlossen und 79 Hosts gefunden, die ein dem SYNful-Knock-Implantat entsprechendes Verhalten zeigen”, zitiert Ars Technica die Forscher.

Alleine in den USA befinden sich demnach 25 Cisco-Router, bei denen Angreifer gültige Anmeldedaten von Administratoren benutzt haben, um die falsche Software über den ROMMON-Upgrade-Prozess einzuspielen. Dass diese Möglichkeit in der Theorie besteht, hatte Cisco bereits Mitte August eingeräumt.

Obwohl Angreifer so uneingeschränkten Zugriff auf das Netzwerk erlangen, handelt es sich nicht um eine Schwachstelle. Die Eigentümer der Router müssen sich vielmehr fragen lassen, wie die Angreifer in den Besitz der Anmeldedaten kamen oder ob entgegen allen Empfehlungen Default-Einstellungen verwendet wurden.

Im Libanon sind dem Forschern zufolge 12 modifizierte Router im Einsatz, in Russland 8 und in Indien 5. In China, dem Iran, Thailand und der Ukraine fanden sie jeweils drei SYNful-Knock-Implantate, in Kanada, Deutschland, Südafrika und der Türkei jeweils zwei.

Ars Technica schließt nicht aus, dass es sich bei einigen Routers um sogenannte Honeypots handelt, also von Forschern mit SYNful Knock eingerichtete Router, um mehr über die Funktionsweise der Malware und deren Hintermänner zu erfahren. Da viele namhafte Sicherheitsanbieter ihren Sitz in den USA haben, könnte dies eine Erklärung für die große Zahl der dort gefundenen Router sein. Die hohe Verbreitung von SYNful Knock sei aber auch ein Beleg dafür, dass es sich um eine professionell entwickelte Schadsoftware handele.

Loading ...

FireEye selbst erklärte am Dienstag, die Angriffe würden wahrscheinlich von staatlichen Stellen gesponsert. Außerdem sei nicht auszuschließen, dass auch Netzwerkgeräte anderer Hersteller für eine Backdoor wie SYNful Knock anfällig seien, wofür es laut Ars Technica aber bisher keine Anhaltspunkte gibt.

[Mit Material von Stefan Beiersmann, ZDNet.de]

Anja Schmoll-Trautmann

Anja Schmoll-Trautmann berichtet seit 2001 vorrangig für ZDNet.de über aktuelle Entwicklungen im Bereich Consumer Electronics, Mobile und Peripherie. Seit 2012 beschäftigt sie sich auch für silicon.de immer wieder mit Business-Hardware, Digitalisierung und Markttrends.

Recent Posts

We siegt im Kampf um IT-Talente: Tech-Riesen oder kleinere IT-Unternehmen?

Freiraum und persönliche Arbeitsatmosphäre sind ausschlaggebend für Jobwechsel hin zu kleineren Unternehmen.

10 Stunden ago

Hybride Cloud-Lösungen: IT-Dienstleister wittern Morgenluft

Wachsende Automatisierungsmöglichkeiten und der Rückgriff auf Colocation-Provider geben Managed-Services- und Managed-Hosting-Anbietern neue Marktchancen.

12 Stunden ago

5G Campusnetz für TIP Innovationspark Nordheide

5G eröffnet Unternehmen und Forschungspartnern breites Spektrum verschiedener Anwendungen.

12 Stunden ago

Amazon kauft iRobot für 1,7 Milliarden Dollar

Der Hersteller von Saugrobotern verstärkt Amazons Smart-Home-Sparte. iRobot-CEO Cling Angle behält seinen Posten.

16 Stunden ago

Digital Employee Experience: So wird das „neue Normal“ nicht zur „neuen Qual“

Mitarbeitende haben hohe Erwartungen an hybrides Arbeiten. Welche Strategie für Zufriedenheit sorgt, erläutert Christoph Harvey,…

1 Tag ago

CISA und ASCS veröffentlichen die wichtigsten Malware-Varianten in 2021

Zu den wichtigsten Malware-Stämmen zählen Remote-Access-Trojaner (RATs), Banking-Trojaner, Info Stealer und Ransomware.

1 Tag ago