SYNful Knock: Angriff auf große Router lässt Experten ratlos zurück

Nur 14 Systeme sind von einem Angriff betroffen, über den das Security-Unternehmen FireEye aktuell die Öffentlichkeit informiert. Wenig, könnte man meinen. Doch es handelt sich um Router des weltweit größten Netzwerkausrüsters Cisco und die fraglichen Systeme gehören zum Kern der Internet-Infrastruktur. Die Sicherheitsforscher, die sich mit dem Problem beschäftigten, haben die Sache "SYNful Knock" getauft. Nach den bisherigen Erkenntnissen wurden Router kompromittiert, die in verschiedenen Ländern stehen - darunter in der Ukraine, in Mexiko, auf den Philippinen und in Indien. Angesichts dieser Verteilung, der Funktionsweise der Attacken und der eingesetzten Malware wirft die Angelegenheit derzeit noch mehr Fragen auf, als Antworten gefunden wurden.

Denn klar ist bisher: Die Angreifer haben keineswegs eine Sicherheitslücke in den betroffenen Systemen ausgenutzt, sondern kamen jeweils auf irgendeinem Weg an die Admin-Passwörter der Router. In einigen - aber keineswegs allen Fällen - könnte dies darauf zurückzuführen sein, dass hier noch die Standard-Kennungen aktiv waren, mit denen die Systeme ausgeliefert wurden. Wahrscheinlicher ist es allerdings, dass an den Attacken Personen beteiligt sind, die über physischen Zugang zu den Routern verfügen oder entsprechende Personen auf irgendeinem Weg dazu brachten, die Passwörter bewusst oder unbewusst zu verraten.

Hochflexible Malware

Auf den Systemen wurde der Zugriff dann jeweils genutzt, um eine recht ausgeklügelte Malware zu installieren. Um diese zu programmieren, bedurfte es einer recht guten Kenntnis der Cisco-Technologien, hieß es. Außerdem ist die Malware so beschaffen, dass sie flexibel und je nach den aktuellen Anforderungen Module nachladen und ausführen kann, was den konkreten Funktionsumfang stetig verändert und an die Gegebenheiten anpasst.

Für die Sicherheitsforscher, die schon so einiges vor die Augen bekommen haben, handelt es sich hier um einen Angriff in einer ihnen bisher fremden Dimension. Aufgrund der vorliegenden Indizien hegen sie daher den Verdacht, dass man es hier keineswegs mit einfachen Kriminellen zu tun hat, sondern mit Geheimdiensten oder anderen staatlichen Akteuren, die nicht nur auf entsprechende Ressourcen, sondern auch auf verschiedene Angriffsvektoren zurückgreifen können. Internet, Daten, Netzwerk, Ethernet Patrick Stahl / Flickr