پایش اینترنتیِ بنیاد Shadowserver نشان می دهد ثابت افزار (Firmware) حداقل ۱۹۲ رهیاب Cisco در بیش از ۳۰ کشور آلوده به بدافزار شده است.
در ۲۴ شهریور، یکی از زیرمجموعه های شرکت FireEye به نام Mandiant ، از اجرای حملاتی با عنوان SYNful Knock خبر داد که در آنها ثابت افزار رهیاب های با سیستم عامل Cisco IOS با ثابت افزارهای آلوده شده به کدهای مخرب جایگزین می شود. ثابت افزار آلوده، نفوذگران را قادر می سازد تا از طریق یک درب پشتی (Backdoor) به رهیاب متصل شده و ماژول های مخرب را بر روی آن نصب کنند.
در آن زمان، Mandiant اعلام کرد که ۱۴ رهیاب آلوده به SYNful Knock را در چهار کشور مکزیک، اوکراین، هند و فیلیپین شناسایی کرده است. دستگاه های آلوده از مدل های ۱۸۴۱، ۲۸۱۱ و ۳۸۲۵ بودند که شرکت Cisco تولید آنها را متوقف ساخته است.
به گزارش شرکت مهندسی شبکه گستر، پس از اعلام Mandiant، بنیاد Shadowserver با مشارکت شرکت Cisco اقدام به شناسایی دستگاه های بالقوه آلوده نموده است. بر طبق آمار ارائه شده توسط این بنیاد، در زمان نگارش این خبر، حداقل ۱۹۲ رهیاب آلوده در ۳۲ کشور شناسایی شده است. آمریکا با ۷۶ دستگاه و هند با ۱۶ دستگاه، بیشترین سهم از آلودگی ها را به خود اختصاص داده اند. نام ایران نیز با دو آلودگی در آمار این بنیاد به چشم می خورد.
بنیاد Shadowserver یک تشکیلات غیرانتفاعی و داوطلبانه است که فعالیت های مخرب سایبری، نظیر شبکه های مخرب Botnet، را رصد کرده و در شناسایی و مبارزه با آنها با شرکتها و مراکز امنیتی مشارکت می کند.
نفوذگران می توانند با استفاده از دستگاه های آلوده شده به SYNful Knock اقدام به شنود ترافیک های شبکه، هدایت کاربران به سایت های مخرب و اجرای حملات بر ضد دستگاه های غیر متصل به اینترنت در شبکه داخلی سازمان کنند.
پیچیده ترین قسمت حملات SYNful Knock نحوه جایگزینی تصویر (ISO) ثابت افزار مخرب بجای ثابت افزار اصلی و توانایی در مخفی ماندن طولانی مدت است. حتی پس از راه اندازی مجدد دستگاه، ثابت افزار جعلی، فعال و مخفی باقی می ماند. همچنین امکان آلوده ساختن رهیاب های دیگر در همان شبکه را خواهد داشت.
بدافزارهایی هم که در حملات SYNful Knock بر روی دستگاه قربانی نصب و فعال می شوند، به طرز ماهرانه ای جاسازی می گردند تا با روشهای ساده و متداول قابل شناسایی و تشخیص نباشند. برای اینکه تغییری در حجم و اندازه ثابت افزار رخ ندهد که قابل تشخیص باشد، SYNful Knock ترافیک و رفتار شبکه را که از دستگاه رهیاب عبور می کند، تحت نظر و بررسی قرار داده و توابعی از ثابت افزار را که کاربرد ندارند و یا کمتر مورد استفاده قرار می گیرند، حذف کرده و بجای آن برنامه بدافزار را جاسازی می کند.
با توجه به اینکه دستگاه های هدف قرار گرفته شده معمولاً در شبکه سازمان های بزرگ مورد استفاده قرار می گیرند این نگرانی وجود دارد که حملات، اثرات مخرب جبران ناپذیری را بر جای بگذارند.
شرکت Cisco از چند ماه قبل از این حملات آگاه بوده و با انتشار هشداری امنیتی به کاربران در خصوص نحوه محفاظت از دستگاه های آسیب پذیر اطلاع رسانی کرده است.
حملات SYNful Knock به این زودی ها از بین نخواهد رفت و احتمالا گونه های پیچیده تر و حرفه ای تر آن را در آینده شاهد خواهیم بود.
مهاجمین قادر هستند با اندک تغییری در روش خود، از چنگ ابزارهای امنیتی فرار کرده و مخفی باقی بمانند و تا زمانی که ثابت افزار آلوده و دستکاری شده فعال است، می تواند دستورات و فرامین جدید دریافت و اجرا کند و حتی به روز شود.
فسا-پسا
