Gehackte Cisco-systemen verbergen zich voor detectie, ontdekt Fox-IT

"Belangrijk. We hebben gezien dat de implant die is geplaatst op tienduizenden Cisco-apparaten is aangepast om te checken op een Authorization HTTP header value voordat het reageert", tweet Fox-IT. Dit duidt erop dat de aanvallers die Cisco-netwerkapparatuur hebben gehackt hun aanwezigheid (beter) proberen te verbergen.

Daling blijkt misleiding

Dit verklaart dan ook de plotse, forse daling in het aantal gedetecteerde systemen dat is gecompromitteerd, stelt ook Fox-IT. De afgelopen paar dagen hebben diverse security-onderzoekers de gevonden gevallen - die uiteenlopen van enkele tienduizenden tot wel tachtigduizend - ineens flink zien afnemen. Dat blijkt dus echter een niet-reageren te zijn op de scanmethode die die tot op heden gangbaar was om deze security-inbreuk te ontdekken.

Cisco meldt in zijn security-advisory over deze beveiligingscrisis dat het verbeterde detectie biedt voor de aanwezigheid van de implant. Met die stiekem geïnstalleerde malafide software kunnen aanvallers Cisco-apparaten op diep niveau overnemen, en dat in blijvende vorm.

Gratis stappen voor detectie

Fox-IT adviseert dan ook om een forensische triage uit te voeren op mogelijk getroffen systemen. Benodigde stappen voor detectie van de implant deelt het securitybedrijf in zijn GitHub-repository. Op basis van de andere methode voor fingerprinting van het malafide implantaat op Cisco-apparaten komt Fox-IT nu uit op 37.890 systemen die nog altijd zijn gecompromitteerd.