Sebastian Muniz, Sicherheitsforscher bei Core Security Technologies, will das von ihm kreierte IOS-Rootkit (Internetwork Operating System) in dieser Woche auf der Sicherheitskonferenz EuSecWest in London vorstellen, berichtete der Branchendienst "IDG News Service". Während das Gros der bisherigen Rootkits - Schadprogramme, die aufgrund ihrer Tarnfähigkeiten schwer aufzuspüren sind - für das Betriebssystem Windows geschrieben wurde, soll es sich bei der Kreation von Muniz um das erste Rootkit für Ciscos Netzgeräte-Betriebssystem handeln. Das IOS-Rootkit soll dasselbe leisten können wie ein Rootkit auf einem Desktop-Betriebssystem. Rootkits dienen in der Regel dazu, heimlich Keylogger sowie Programme zu installieren, die es Angreifern ermöglichen, sich aus der Ferne mit infizierten Systemen zu verbinden. Ein IOS-Rootkit wäre schon allein aufgrund der hohen Verbreitung von Cisco-Routern besorgniserregend - laut IDC besetzte der Netz-Riese im vierten Quartal 2007 nahezu zwei Drittel des Router-Markts.
Malware für multiple IOS-Versionen
Forscher haben in der Vergangenheit bereits Schadsoftware ("IOS patching Shellcode") entwickelt, die einen Cisco-Router kompromittieren könnte - allerdings waren diese Programme jeweils auf eine spezielle IOS-Version zugeschnitten. Anders das Rootkit von Muniz, das dem Forscher zufolge auf verschiedenen Versionen des Cisco-Betriebssystems funktioniert. Die Malware, die im Flash-Speicher des Routers läuft, lässt sich allerdings nicht nutzen, um in einen Cisco-Router einzubrechen - vielmehr bräuchte ein Hacker eine Art Angriffscode oder ein Administratoren-Passwort, um das Rootkit zu installieren. Einmal eingerichtet, soll sich der Opfer-Router mit Hilfe der Schadsoftware jedoch überwachen und kontrollieren lassen.
Muniz hat eigenen Angaben zufolge nicht vor, den Sourcecode für sein Rootkit zu veröffentlichen. Allerdings wolle er auf der Londoner Konferenz zeigen, dass IOS-Rootkits real seien und entsprechende Sicherheitsmaßnahmen ergriffen werden müssten. Technische Details wurden vorerst nicht preisgeben.
Gefälschte Router bedrohen Infrastruktur
Das Rootkit dürfte für Cisco zu einem ungünstigen Zeitpunkt kommen: Wie die "New York Times" kürzlich berichtete, erachtet das FBI Probleme mit gefälschtem Netz-Equipment von Cisco als Bedrohung für die US-amerikanische Infrastruktur. Die amerikanische Bundespolizei hat Ende Februar ein Vertriebsnetz zerschlagen, das in großem Stil gefälschte Cisco-Produkte in Umlauf gebracht hatte. Die Beamten beschlagnahmten in China gefertigte Komponenten im Wert von rund 3,5 Millionen Dollar. Einer FBI-Präsentation zur "Operation Cisco Raider" zufolge waren gefälschte Cisco-Router und -Switches unter anderem an die US Navy, die US Air Force, die amerikanische Luftfahrtbehörde Federal Aviation Administration (FAA) und sogar an das FBI selbst verkauft worden.
Das US-Verteidigungsministerium hat bereits in der Vergangenheit Bedenken geäußert, dass die unzureichend gesicherte Zulieferkette im Bereich Mikroelektronik die nationalen Abwehrsysteme gefährden könnte - der Gedanke, dass ein Hacker ein Rootkit in ein gefälschtes Cisco-System schmuggeln könnte, dürfte Sicherheitsexperten demnach Magenschmerzen bereiten. (kf)