FireEye

Massive Attacke auf Internet-Router von Cisco entdeckt

16.09.2015
"Wir haben so etwas noch nie gesehen", ist ein Satz, den man selten von einer IT-Sicherheitsfirma hört. Eine aktuelle Attacke auf Internet-Router für Firmen und Behörden fällt jedoch in diese Kategorie.

Die IT-Sicherheitsfirma FireEye hat eine "SYNful Knock" getaufte, offenbar groß angelegte Attacke auf Netztechnik entdeckt, bei der sich die Angreifer in großem Stil Zugang zu Informationen verschafft haben könnten. Dabei stünden Router von Cisco im Visier, die Netze zum Beispiel von Firmen oder Behörden mit dem Internet verbinden, sagte FireEye-Chef David DeWalt der Deutschen Presse-Agentur. So könnten auch Daten unter Umgehung einer Firewall abgegriffen werden. "Wir haben so etwas noch nie gesehen".

Alle von FireEye genannten Cisco-Router sind für kleinere Firmen und werden nicht länger angeboten.
Alle von FireEye genannten Cisco-Router sind für kleinere Firmen und werden nicht länger angeboten.
Foto: Cisco

Die Dimension der Arbeit, die dafür nötig sei, weise auf staatliche Akteure wie Geheimdienste hin, sagte DeWalt. Er machte keine Angaben dazu, welche Länder in Frage kämen. FireEye fand bisher 14 von den Angreifern manipulierte Router in der Ukraine, auf den Philippinen sowie in Mexiko und Indien. Die Attacke laufe mindestens seit einem Jahr, sagte DeWalt. "Wir gehen davon aus, dass es noch mehr Fälle gibt." Die Angreifer hätten großes Detailkenntnisse der Cisco-Technik gezeigt; die Router-Software IOS werde im laufenden Betrieb manipuliert. FireEye erläuterte in einem Blogeintrag, wie ein angegriffener Router (betroffen sind mindestens die Modelle "Cisco 1841", "2811" sowie "3825"; alle schon älter und EOL) erkannt werden könne.

Die Angreifer hätten zur Installation der Software entweder die Zugangsdaten für die Ersteinrichtung des Routers verwendet, die von den Besitzern nicht geändert wurden, oder sich die Zugangsdaten auf einem anderen Weg verschafft. Es gebe keine Hinweise auf eine vorab vorhandene Hintertür in der Cisco-Software. Die Hintertür werde allerdings mit der manipulierten Firmware eingerichtet.

FireEye hatte gerade erst selbst Schlagzeilen durch eine seit langer Zeit ungepatchte Sicherheitslücke in den eigenen Security-Appliances sowie aufgrund ungewöhnlich rabiaten Umgangs mit unabhängigen Sicherheitsforschern gemacht, die eine (weitere) Lücke in FireEye-Produkten öffentlicht machen wollten. (dpa/tc)