Маршрутизаторы – основа инфраструктуры Интернета, поэтому они особенно привлекательны для хакеров. Установить троянца в маршрутизатор – лучший способ контроля сети. Однако сделать это довольно сложно – ничто так хорошо не выдает атаку, как поломанный маршрутизатор. Хакеры, которые стремятся долго контролировать корпоративные или даже провайдерские сети, должны произвести захват маршрутизаторов максимально незаметно. Для этого в нем должен работать правильно основной функционал. Поэтому, чтобы написать троянца под IOS компании Cisco, надо хотя бы понять, как устроена эта операционная система, – а это непросто.
Именно поэтому за все существование IOS компании Cisco троянцы для этой ОС были зафиксированы всего шесть раз – такие данные недавно опубликовали эксперты компании. Первые два инцидента были зафиксированы компанией в 2011–2012 гг. Троянец представлял собой модифицированное ядро, которое нужно было установить на маршрутизатор. Заразить таким троянцем можно было только устройства серий 2800 и 3800. Модификация приводила к ослаблению механизм выбор ключа шифрования Диффи – Хеллмана и позволяла нападающему дешифровать защищаемый трафик.
Еще две атаки было зафиксировано в 2013 г. Атакующие должны были получить контроль над административным интерфейсом операционной системы и модифицировать образ операционной системы, загруженной в память маршрутизатора. Изменения приводили к тому, что маршрутизатор начинал дублировать обрабатываемые пакеты, посылая их на указанный хакерами IP-адрес. В другом варианте этой же атаки хакер вмешивался в работу системы трансляции IP-адресов NAT, чтобы иметь возможность слушать трафик корпоративной сети. Тогда модификации были подвержены только устройства серии 7600.
Пятый инцидент был обнаружен в 2014 г., когда модификации подвергались устройства серий 1800, 3800 и 7200. Заражения производились также в памяти, но из специального режима работы маршрутизатора. При этом троянец уже был модульный, т. е. он позволял включать и выключать дистанционно некоторые функции. Кроме того, его модификацию было очень сложно обнаружить удалено. Последний по времени инцидент с троянской функциональностью был обнаружен летом 2015 г. компанией FireEye и назван SYNful Knock. Этот случай по методу заражения был похож на первые два, поскольку модифицировал ядро операционной системы, которое располагалось во флеш-памяти устройства.
По статистике проекта Shadowserver (проект https://synfulscan.shadowserver.org/), количество зараженных SYNful Knock-маршрутизаторов не превышает 200 штук: максимум зафиксирован 22 сентября, и это число постоянно снижается. На 19 октября было заражено 168 маршрутизаторов, из которых в России – 13. Понятно, что малое количество заражений по всему миру указывает на сложность заражения данной вредоносной функциональностью. По словам Алексея Лукацкого, бизнес-консультанта Cisco по информационной безопасности, модифицировать можно только те устройства, которые выпущены до 2008 г. и до сих пор используются. При этом нужно либо получить физический доступ к устройствам, либо перехватить учетные данные администратора. «Вполне возможно, что данные версии образов операционных систем являются пиратскими копиями IOS, скачанных из Интернета и установленных администраторами самостоятельно», — прокомментировал Алексей Лукацкий.
С 2008 г. в компании Cisco внедрена система безопасной разработки программного обеспечения, которая предполагает использование только подписанных копий операционной системы, наличие монитора целостности образа IOS в памяти маршрутизатора и контроль используемых модулей. Таким образом, для современных устройств ни один из способов установки троянского функционала, которые описаны выше, уже не должен работать.
