VS en Japan waarschuwen voor Chinese manipulatie van routers

Het rapport spitst zich met name toe op de kwetsbaarheid van firmware voor Cisco-routers. Het vermeldt echter ook dat netwerkrouters van andere leveranciers kwetsbaar kunnen zijn voor de achterdeurtjes die BlackTech weet in te bouwen.

Via computers naar netwerkrouters

De cyberspionagegroep zou zich volgens de Amerikaanse en Japanse overheidsinstanties bedienen van een combinatie van malwarecode geschreven voor Windows, Linux, en FreeBSD-besturingssystemen. Eenmaal binnengekomen op computers met die besturingssystemen, gaan ze 'over' naar routers in de netwerken van hun slachtoffers. De aanvallers downloaden daarop dan oude firmware waar bekende kwetsbaarheden in zitten óf ze voorzien routers van firmware waar ze al een SSH-backdoor in hebben gebouwd.

De aanvallers gebruiken de ingebouwde Command Line Interface (CLI) van routers om het IOS-besturingssysteem van die Cisco-hardware te vervangen. Met een zogeheten 'hot patching'-proces wordt dan een gemanipuleerde bootloader geïnstalleerd en gemanipuleerde firmware die in staat is de beveiligingsfuncties van de router te omzeilen. Vervolgens kan met een speciaal geprepareerd netwerkpacket de backdoortoegang in de router worden geactiveerd. Daarbij weten de aanvallers hun handelingen te verbergen voor de reguliere  logging en de access control list (ACL). 

Waarschuwing mist belangrijk detail

Het rapport laat wel onvermeld hoe de groep hun initiële toegang tot de routers van hun slachtoffers verkrijgen. Dus vóór het downgraden van de firmwareversie of het installeren van firmware met ingebouwde backdoor. Voor dergelijke diepgaande beheerderstoegang zijn gestolen inloggegevens nodig of een heel geavanceerd beveiligingslek dat niet gedicht kan worden, zegt een woordvoerder van firmwarebeveiligingsbedrijf NetRise tegen The Register. 

Met de geschetste route kunnen volgens de Amerikaans-Japanse waarschuwing de spionnen ongemerkt de Cisco-apparatuur binnendringen. De cyberspionagegroep richt zich in eerste instantie op toeleveranciers van hun doelwitten en op lokale kantoren in andere landen. Daarlangs kunnen ze via een bestaande vertrouwde relatieband toegang krijgen tot hoofdkantoren van bedrijven en overheidsorganisaties in de Verenigde Staten en Japan.

Cisco weet van niks nieuws

The Register vroeg bij Cisco na wat het bedrijf denkt over de bevindingen. Een woordvoerder zegt echter dat er geen indicatie is dat er kwetsbaarheden zijn misbruikt die in Cisco’s 'informational security advisory' voorkomen. Het bedrijf ziet dan ook in de waarschuwing van de overheidsinstanties een aanmoediging voor klanten om hun apparatuur altijd te updaten.

De vraag is wel hoe nieuw deze aanvalsvorm is, en waarom het gezamenlijke Amerikaans-Japanse rapport juist nu werd uitgebracht. De samenwerkende overheidsinstanties geven daar geen uitleg bij. De NetRise-woordvoerder ziet geen nieuwe feiten. Maar hij vindt het wel goed dat er aandacht voor deze securitykwestie is. Dat is wellicht ook de enige reden dat de waarschuwing nu is uitgegeven.